싱가포르 OpenAI 호환 LLM 게이트웨이인 OrcaRouter가 ‘2026 AI 위협 보고서’를 발표하고 두 가지 핵심 보안 컨트롤인 에이전트 Firewall과 입력/출력 Guardrails를 모든 사용자에게 무료로 공개한다고 밝혔다.

해당 서비스 이용을 위해서는 추가로 통합 및 구매할 필요가 없으며 이미 사용 중인 API 키에 컨트롤을 연결하고 스위치 하나만 켜면 된다.

이번 보고서의 결론은 분명하다. 당신의 AI 시스템이 곧 공격 표면이며, 대부분의 조직은 자신을 겨냥한 공격을 보지 못한다는 것이다. 운영 중인 LLM 애플리케이션의 텔레메트리에 따르면 성공한 공격은 평균 42초 만에 끝나며, 그중 90%가 민감 데이터를 유출한다(Pillar Security). 프롬프트 인젝션 공격은 전년 대비 340% 증가한 것으로 나타났다(OWASP, 2026년 1분기). 그리고 이미 13%의 조직이 AI 모델이나 애플리케이션을 통해 침해를 당했으며, 그중 97%는 기본적인 AI 접근 통제조차 갖추지 못한 상태였다(IBM, 2025).

공격자들은 지난해 6월 Microsoft 365 Copilot에서 기업 데이터를 빼냈고 피해자 측의 과실은 없었다. 링크를 클릭하지도, 첨부 파일을 열지도, 프롬프트를 승인하지도 않았다. 피해자가 한 일이라곤 이메일 한 통을 받은 것뿐이었다. 그러나 그의 AI 어시스턴트는 메일을 읽고 그 안에 숨겨진 지시를 그대로 실행했다. Aim Security가 EchoLeak(CVE-2025-32711)으로 공개한 이 공격은 메일, 파일, 대화 기록에서 민감한 맥락 데이터를 모아 자동으로 로드되는 이미지 URL을 통해 몰래 빼낸 것으로 확인됐다. 클릭은 단 한 번도 없었던 것으로 나타났다.

EchoLeak은 예외적 사건이 아니다. 그것은 예고편에 불과했다.

공격이 에이전트화되고, 유출이 산업 규모로 커진 해

2026년 사건 기록은 기업 보안이 세워진 모든 전제에 대한 스트레스 테스트처럼 읽힌다.

· Chat & Ask AI는 Firebase 설정 오류로 인해 2500만 명이 넘는 사용자의 비공개 채팅 메시지 약 3억 건을 노출시켰다(404 Media; Malwarebytes, 2026년 1월).
· Sears Home Services는 2024~2026년에 걸친 370만 건의 AI 채팅 기록과 이름, 주소, 이메일 등을 포함한 통화 녹음을 노출시켰다(ExpressVPN; Cybernews, 2026년 3월).
· CVE-2026-39987: 한 공격자가 marimo 노트북 도구의 이 단일 취약점을 실행 중인 LLM 에이전트와 연결해, 클라우드 자격 증명을 탈취하고 AWS Secrets Manager에서 SSH 키를 꺼낸 뒤 내부 PostgreSQL 데이터베이스 전체를 2분도 안 되어 빼냈다(Sysdig; The Hacker News, 2026년 5월).
· Microsoft & Salesforce는 모두 AI 에이전트의 데이터 유출 결함에 대한 패치를 배포했다. CVE-2026-21520에서는 오염된 SharePoint 필드가 Copilot을 조종해 고객 데이터를 공격자에게 이메일로 보내도록 만들었고, 보안 메커니즘이 공격을 표시한 뒤에도 데이터는 빠져나갔다(Dark Reading).
· Denial-of-wallet: 탈취되거나 폭주한 에이전트가 그저 돈을 쓰기만 하는 공격도 하루 4만6000달러가 허비되는 것이 확인됐다(Sysdig, ‘LLMjacking’). 훔쳐 가는 데이터는 없다. 남는 것은 청구서뿐이다.

왜 지금의 스택은 이 중 어느 것도 보지 못하는가

전통적인 보안은 경계를 전제한다. 내부는 신뢰하고 외부는 불신하며, 그 이음새에 통제를 둔다. 그러나 언어 모델은 그 경계를 허문다. 모델의 입력이 곧 그 프로그래밍이기 때문이다. 에이전트가 읽는 모든 이메일, 문서, 웹페이지, 도구 결과에는 그가 따르게 될 지시가 담겨 있을 수 있다. 오늘날의 모델이 ‘처리할 콘텐츠’와 ‘따라야 할 명령’을 구분하는 신뢰할 만한 일반적 메커니즘은 존재하지 않는다.

그래서 프롬프트 인젝션이 LLM 애플리케이션을 위한 OWASP Top 10에서 1위를 차지하고 있으며, 버퍼 오버플로처럼 ‘패치’될 수 없는 것이다. 이는 매체 자체의 구조적 속성이다. 웹 애플리케이션 방화벽은 요청을 검사하고 완벽히 유효한 API 호출을 본다. 공격은 그 ‘말’ 속에 있다. 요청 단위 점검은 연쇄 공격의 모든 단계를 통과시킨다. 피해는 어느 한 호출이 아니라 그 ‘순서’, 즉 시간에 걸친 양, 반복, 지출 속에 있기 때문이다.

결론은 불편하지만 분명하다. AI 보안은 모델 학습의 문제가 아니다. 그것은 아키텍처의 문제이며, 기업이 이미 다른 모든 운영 시스템에 적용하는 것과 같은 규율로 풀 수 있다.

방어는 아키텍처의 문제다 - 두 평면, 여섯 계층, 게이트웨이에서

위의 모든 공격은 범위가 정해지지 않은 권한 앞에서는 성공하고, 범위가 정해지고 감시되며 감사되는 권한 앞에서는 실패한다. 이를 봉쇄하려면 서로 다른 두 평면을 통제해야 한다.

· 콘텐츠 평면 — 모델이 읽고 쓰는 것. 이것은 Guardrails의 역할이다.
· 행동 평면 — 에이전트가 ‘하는 것’: 호출하는 도구, 도달하는 네트워크, 쓰는 비용. 이것은 Firewall의 역할이다.

가장 큰 피해를 주는 사건들은 두 평면을 모두 가로지른다. 인젝션이 콘텐츠로 들어와 행동으로 현금화된다. OrcaRouter는 요청과 후회 사이에 독립적이고 감사 가능한 여섯 계층을 둔다.

· 범위가 정해진 신원 — 모든 에이전트는 허용된 모델, IP 허용 목록, 강력한 지출 상한, 만료 기한을 담은 자체 키로 호출한다. 범위를 벗어난 요청은 어떤 콘텐츠도 읽히기 전에 차단된다.
· 입력 Guardrails — 인젝션 및 jailbreak 규칙, 개인정보 탐지 및 마스킹, 비밀 정보 차단, 그리고 정규식으로는 잡을 수 없는 것을 잡아내는 의미 기반 LLM 심판
· 행동 Firewall — 모든 도구 호출, MCP 디스패치, 네트워크 송출은 순서가 정해진 기본 거부 정책에 따라 여섯 가지 결과(allow, audit, deny, sanitize, pending-approval, cap-cost)로 평가된다. 탈취된 에이전트는 등재하지 않은 도구도, 호스트도, 단 1달러도 건드릴 수 없다.
· 출력 Guardrails — 응답은 나가는 길에 안전하지 않은 출력, 개인정보, 비밀 정보가 있는지 그라운딩 점검과 함께 선별된다. 바로 이 계층이 EchoLeak의 유출 URL을 떠나기 전에 잡아낸다.
· 이상 탐지 — 행동 기준선은 정적 규칙이 예측할 수 없는 것을 표시한다. 좁은 시간 창에 같은 호출이 두들겨지는 일, 학습된 기준선 대비 치솟는 지출, 워크스페이스가 한 번도 한 적 없는 도구 간 전환 같은 것들이다.
· 서명된 감사 — 모든 매칭, 판정, 승인, 정책 변경은 변조 방지 추적 기록에 남아 에이전트 실행과 세션별로 상관 분석되며, 증거로 내보낼 수 있다.

결정적인 속성은 ‘배치’다. 이 컨트롤들은 게이트웨이, 즉 요청 경로 위에 자리하므로 애플리케이션 코드가 아니라 자격 증명에 묶인다. 따라서 에이전트를 다시 작성하지 않고도 모든 팀과 프레임워크에 걸쳐 강제할 수 있다.

우리는 우리 숙제를 스스로 채점하지 않는다

보안 주장은 그 뒤를 받치는 증거만큼의 가치만 지닌다. 그래서 OrcaRouter는 자사의 증거를 공개한다. Guardrails와 Firewall에는 80개가 넘는 오픈소스 레드팀 코퍼스에 대해 점수를 매기는 평가 하니스가 함께 제공되며, 각각 출처가 인용되고 라이선스가 명시돼 있다.

· HarmBench(MIT; ICML 2024), JailbreakBench(NeurIPS 2024), AdvBench(Zou et al., 2023)는 유해 행동과 jailbreak 견고성을 위해 사용된다.
· NVIDIA의 garak(Apache-2.0), 오픈 LLM 취약점 스캐너는 인젝션 및 인코딩 공격을 대처하기 위해 사용된다.
· AgentDojo(NeurIPS 2024) — 미국과 영국 AI 안전 연구소가 공동 레드팀에서 사용한 에이전트 프롬프트 인젝션 벤치마크는 행동 평면 Firewall을 특정해 평가하기 위해 사용된다.
· TruthfulQA 등은 그라운딩과 환각을 위해 사용된다.

OrcaRouter는 오픈 도구를 직접 통합한다. 의존성 CVE에는 OSV를, 프롬프트를 거쳐 가는 코드에는 Semgrep을 씁니다. 블랙박스도 없고, ‘우리를 믿어 달라’는 말도 없다.

다가오는 감사를 위해 설계되다

EU AI Act가 2026년 8월 2일 전면 적용되며, 규제의 기준선은 ‘말해 보라’에서 ‘보여 달라’로 바뀌게 된다. 같은 증거 중심의 사고가 SOC 2 범위, 사이버보험 설문, 조달 심사 전반으로 번지고 있다. OrcaRouter는 OWASP LLM Top 10, NIST AI RMF, ISO/IEC 42001, EU AI Act, SOC 2, HIPAA, PCI DSS, GDPR을 비롯한 36개의 컴플라이언스 프레임워크 팩을 제공해 컨트롤을 여러분의 워크스페이스에 구현하고 서명된 증거를 생성한다. 잘 배치된 컨트롤 계층 하나가 이 모두에 대한 입증 자료를 한 번에 만들어낸다.

이번에 출시되는 서비스, 왜 무료인가

OrcaRouter Firewall + Guardrails가 이제 모든 사용자에게 무료로 제공된다. 별도의 코드 수정 없이 기존 API 키를 그대로 사용하면서 콘솔에서 스위치 하나만 켜면 적용할 수 있다.

OrcaRouter는 이를 의도적으로 무료로 만들었다. 보고서의 데이터는 명확하다. 닦인 길 없는 금지는 섀도 AI를 줄이는 게 아니라 늘린다. 그리고 섀도 AI는 이미 다섯 건 중 한 건의 침해를 유발하며, 67만달러의 추가 비용을 동반한다(IBM, 2025). 효과적인 해결책은 기술적인 것만큼이나 경제적이다. 통제된 경로를 가장 쉬운 경로로 만드는 것이다. 따로 비용을 내야 하고, 수동으로 통합해야 하며, 예산 위원회에 정당성을 설명해야 하는 컨트롤은 대부분의 팀이 건너뛰는 컨트롤이다.

따라서 별도로 통합할 것도, 새로 구매할 것도 없다. 이미 사용 중인 키에 Guardrails와 Firewall 정책을 연결하고, 운영 환경과 부딪혀도 살아남는 롤아웃 즉, 관찰(감사 모드로 실행해 실제 트래픽이 기준선을 작성하게 함), 섀도(오탐이 0에 가까워질 때까지 실제 정책을 ‘차단했을 것’ 모드로 실행), 그리고 적용(판정을 실시간으로 켜되, 사람의 승인은 정말로 되돌릴 수 없는 것에만 둠)을 따르면 된다. 대부분의 팀은 몇 주 만에 전환이 가능하고, 컨트롤을 계속 켜 두면 된다.

핵심 요약

2026년의 위협 지형은 AI 도입을 늦출 이유가 아니다. 그것은 살아남기 위한 운영 매뉴얼이다. 이 보고서의 모든 공격은 범위 없는 권한을 이기고, 범위가 정해지고 감시되며 감시받는 권한 앞에서 무너진다. 그리고 그 속성은 지금 게이트웨이에서 몇 주 안에 무료로 구축할 수 있다.

참고

· ‘2026 AI 위협 보고서’
· OrcaRouter 웹사이트

OrcaRouter 소개

OrcaRouter는 Continuum AI Pte. Ltd.(싱가포르)가 만든 OpenAI 호환 LLM 게이트웨이로, 200개가 넘는 모델에 걸쳐 라우팅하며 약 40%의 비용 절감, 1밀리초 미만의 라우팅 오버헤드, 0%의 토큰 마크업을 제공한다. 자체 호스팅 에디션인 OrcaRouter-Lite는 MIT 라이선스로 제공된다.

CONTINUUM AI PTE LTD 소개

Continuum AI Pte. Ltd.는 최첨단 AI를 개발자와 팀이 접근 가능하고 합리적인 비용으로 사용할 수 있도록 하기 위해 설립된 싱가포르 기반 기업이다. 단일 API 키와 엔드포인트를 통해 200개 이상의 선도적인 AI 모델에 대한 액세스를 제공하는 OpenAI 호환 AI Gateway인 OrcaRouter를 개발한 회사다. OrcaRouter는 약 40%의 비용 절감, 1ms 미만의 라우팅 오버헤드, 토큰 마크업 없음을 제공하며, MIT 라이선스로 출시된 자체 호스팅 버전(OrcaRouter-Lite)도 함께 제공한다. 회사는 싱가포르 21 Merchant Road, #07-02, Royal Merukh S.E.A., Singapore 058267에 등록돼 있다.