글: 사랑 와루드카르 - 선임 기술 PMM
2026년 5월 19일 4 읽는 데 4분
생성형 AI의 도입은 많은 조직이 아직 대처하지 못한 방식으로 기업 보안을 변화시켰습니다. 위험은 정교한 공격에서 비롯된 것이 아니었습니다. 그 위험은 브라우저 탭에서 비롯되었습니다.
직원들은 하루 중 상당 부분을 브라우저에서 보내며, CRM 기록, 재무 대시보드, 공유 문서, 그리고 ChatGPT, Microsoft 365 Copilot, Gemini와 같은 AI 도구에 접근합니다. 생산성 향상 효과는 분명합니다. 보안 위험에 노출될 가능성도 마찬가지로 분명합니다.
AI 애플리케이션은 직원의 클립보드에 있는 데이터를 외부 모델로 직접 전송할 수 있는 프롬프트 필드를 도입했습니다. Microsoft Teams Web이나 WhatsApp Web과 같은 메시징 플랫폼은 기존 네트워크 보안 도구로는 검사할 수 없는 상시 연결된 WebSocket 연결에 의존합니다. 또한 최신 SaaS 애플리케이션은 콘텐츠가 프록시에 도달하기 전에 이를 암호화합니다.
그 결과, 기존의 네트워크 보안 통제 수단으로는 감지하거나 관리할 수 없는 세션 내 활동의 범위가 점점 확대되고 있습니다. 이러한 활동은 브라우저 내부에서 발생하므로, 보호 조치 역시 브라우저 내에서 이루어져야 합니다.
기존의 네트워크 검사 방식은 프록시를 통과하는 HTTP 및 HTTPS 트래픽에 의존해 왔습니다. 이 모델은 수년 동안 잘 작동해 왔지만, 두 가지 변화로 인해 상황이 더욱 복잡해졌습니다.
첫째, 최신 SaaS 애플리케이션은 점점 더 웹소켓(WebSocket) 연결을 많이 사용하고 있습니다. Microsoft Teams, WhatsApp, Microsoft 365 Copilot과 같은 앱은 기존 프록시 검사를 우회하는 지속적 브라우저 세션을 생성하므로, 보안 팀은 세션 활동에 대한 가시성을 상실하게 됩니다.
둘째, 종단 간 암호화 애플리케이션은 트래픽이 프록시에 도달하기 전에 콘텐츠를 암호화합니다. 네트워크 보안 도구는 연결 상태는 확인할 수 있지만, 실제 데이터 내용은 확인할 수 없습니다.
이로 인해 기존 보안 통제의 감지 범위를 벗어난 브라우저 활동이 발생하게 됩니다.
대부분의 데이터 유출 사고는 고도로 정교한 공격자 때문이 아니라, 브라우저 내에서 직원이 수행하는 일상적인 행동—예를 들어 복사-붙여넣기, 스크린샷 촬영, 파일 업로드, 그리고 접근 권한이 부여된 후 입력하는 AI 프롬프트 등—에서 비롯됩니다.
세션 중 발생하는 데이터 유출 사고 중 가장 흔한 사례들은 일정한 패턴을 보입니다. 이는 직원들이 일상적인 업무 과정에서 수행하는 평범한 행동들이며, 네트워크 에지에서 작동하는 도구로는 이를 탐지하거나 통제하기 어렵습니다.
예시로는 다음과 같은 것들이 있습니다:
이러한 행동은 일상적인 업무 중에 발생하며, 기존의 통제 수단으로는 탐지하기 어렵습니다.
생성형 AI는 붙여넣은 모든 내용을 허용하는 브라우저 프롬프트 입력란을 생성함으로써 이 문제를 더욱 악화시켰습니다. 직원들은 소스 코드, 고객의 개인 식별 정보(PII), 재무 데이터, 법률 문서 또는 M&A 계획을 단 몇 초 만에 외부 AI 시스템에 전송할 수 있습니다. 최근 업계 조사에 따르면 직원의 41%가 복사하거나 업로드하는 내용을 규제하는 거버넌스 통제 장치가 전혀 없는 AI 웹 도구를 정기적으로 사용하고 있는 것으로 나타났습니다. 대부분의 조직에서는 직원의 클립보드와 외부 AI 모델 사이에 어떠한 기술적 통제 수단도 존재하지 않습니다.
많은 조직에서 직원의 클립보드와 외부 AI 프롬프트 입력란 사이에는 어떠한 기술적 통제 장치도 존재하지 않습니다.
관련 규정에서는 이미 민감한 데이터에 대한 기술적 보호 조치를 의무화하고 있다.
일반 데이터 보호 규정(GDPR) 제32조는 개인정보 처리의 보호를 요구합니다. 건강보험 이동성 및 책임법(HIPAA)은 의료 데이터에 대한 보호 조치를 의무화하고 있습니다. 인도의 디지털 개인정보 보호법은 개인정보에 대한 기술적 보호 조치를 요구합니다. 결제 카드 산업 데이터 보안 표준(PCI DSS)은 카드 소지자 데이터에 대한 통제 조치를 요구합니다.
감사관들은 직원들이 민감한 데이터를 외부 AI 도구로 복사하는 것을 막을 수 있는 방법이 무엇인지 점점 더 자주 묻고 있다. 많은 조직이 이에 대한 명확한 기술적 해답을 제시하지 못하고 있다.
시장에서는 세션 내 브라우저 보안을 위한 여러 가지 접근 방식을 개발해 왔습니다. 보안형 기업용 브라우저는 직원들이 사용하는 브라우저를 관리형 기업용 브라우저로 대체함으로써 세션 내 세부적인 제어 기능을 제공합니다. 이 모델은 엄격하게 통제되는 환경에서는 효과적이지만, 도입에 상당한 저항을 초래하고, 3~6개월의 배포 기간이 소요되며, BYOD 및 계약직 직원의 기기에 대해서는 구조적인 보안 사각지대가 발생합니다.
에이전트 없는 보안 브라우저 제어 기능은 다른 접근 방식을 취합니다. 이 기능은 브라우저를 교체하거나 엔드포인트 에이전트를 설치하지 않고, 직원들이 업무 방식을 변경할 필요도 없이, 기존 SSE 인프라를 통해 활성 브라우저 세션 내에서 데이터 보호 정책을 적용합니다. 적용 범위는 관리 대상 기기, BYOD 엔드포인트, 계약자 기기에서 실행되는 Chrome, Edge, Firefox, Safari에 모두 동일하게 적용됩니다. 활성화에는 몇 달이 아닌 단 몇 분밖에 걸리지 않습니다.
그 결과, 브라우저를 교체할 때 발생하는 도입 및 비용상의 타협 없이도 기업용 브라우저 보안의 이점을 누릴 수 있습니다. 기존 브라우저는 그대로 유지되며, 관리 체계가 도입됩니다.
만약 위에서 설명한 세션 내 활동이 귀사의 환경에서 익숙하게 느껴진다면, 가장 빠른 다음 단계는 에이전트 없는 보안 브라우저 제어 기능이 이를 어떻게 해결하는지 알아보는 것입니다.
다음 사이트를 방문해 보세요 Skyhigh Secure Browser Controls 제품 페이지를 방문하여 이 기능이 어떻게 작동하는지, 기존 SSE 플랫폼을 통해 어떻게 배포되는지, 그리고 관리 대상 기기, BYOD 및 계약자 엔드포인트 전반에 걸쳐 어떤 범위를 커버하는지 확인해 보세요.
또한 Skyhigh의 Secure Browser Controls에 대한 Skyhigh의 보안 브라우저 제어 기능에 대한 맞춤형 데모를 요청하실 수도 있습니다.
저자 소개

Sarang Warudkar는 사이버 보안 분야에서 10년 이상 경력을 쌓은 노련한 제품 마케팅 관리자로, 기술 혁신을 시장의 요구사항에 맞추는 데 능숙합니다. 그는 CASB, DLP, AI 기반 위협 탐지와 같은 솔루션에 대한 깊은 전문 지식을 바탕으로 영향력 있는 시장 진출 전략과 고객 참여를 주도합니다. Sarang은 IIM 방갈로르에서 MBA를, 푸네 대학교에서 공학 학위를 취득하여 기술 및 전략적 통찰력을 겸비하고 있습니다.
Sarang Warudkar July 15, 2026
스튜어트 베일리스와 사랑 와루드카르 2026년 6월 25일
사랑 와루드카르와 스튜어트 베일리스 2026년 5월 21일