지난해 이어 올해 두번째 사이버보안콘퍼런스 개최
얀 쇼시타이시빌리 교수 “미래에는 자동화 시스템이 사람 대신 공격 방어할 것”
”기업들 스스로 보안 지침 마련해야”
”대국민 홍보·교육도 필수”
조선비즈가 14일 서울 중구 웨스틴조선호텔에서 개최한 ‘2023 사이버보안콘퍼런스’가 성황리에 막을 내렸다. 이번 행사는 ‘인공지능(AI) 시대 사이버 위협’를 주제로 진행됐으며, 과학기술정보통신부와 방송통신위원회가 후원했다. 지난해에 이어 두번째로 열린 행사에는 이른 아침부터 약 300명의 정부, 학계, 산업계 관계자들이 모였다.
참석자들은 AI를 악용한 사이버 공격과 방어의 싸움이 창과 방패처럼 계속 이어진다고 하면서도, 섣부르게 AI 규제를 도입하거나 사용을 막기보다는 AI 시대에 걸맞은 새로운 지침이 마련돼야 한다는 데 의견을 모았다. 유상범 국민의힘 의원은 축사를 통해 “챗GPT의 출현 등 AI 시대로 접어들면서 민관이 머리를 맞대 사이버 위협에 적극적으로 대응하는 것이 필요하다”며 “국회에서 입법과 제도 개선을 위해 최선의 노력을 다하겠다”고 말했다.
백종욱 국가정보원 3차장은 축사에서 “국정원은 AI 시대 사이버안보를 위해 동맹국 협력을 최우선으로 사이버 공격에 공세적으로 대응하겠다”고 말했다. 박윤규 과학기술정보통신부 2차관은 “사이버보안은 디지털 시대 최우선 어젠다”라며 “사람과 기술에 대한 투자를 강화하겠다”고 말했다. 박규백 국방부 사이버작전사령관은 “총과 폭탄에 필적할 만큼 컴퓨터와 키보드가 국가 안보를 실전적으로 위협하고 있다”면서 “익숙한 틀에 갇혀 변화무쌍한 전장에서 위협에 대응하지 못하면 위험하다”고 지적했다.
◇ AI·자동화 시스템, 사이버 위협 탐지에 활용
이날 행사에서는 AI와 자동화 시스템을 활용해 사이버 위협에 선제적으로 대응해야 주장이 제기됐다. 첫번째 기조강연을 맡은 얀 쇼시타이시빌리 미국 애리조나주립대 교수는 “사람이 직접 육성하기 까다로운 화이트해커(보안 취약점을 찾아내 해커로부터 공격받지 않게 도와주는 보안 전문가) 대신 미래에는 자동화된 시스템이 대체할 수 있을 것”이라며 “현존하는 소프트웨어 수와 유사한 규모로 보안 결함도 발견돼야 하지만 아직 이 같은 수준까지 사이버보안 기술이 도달하지는 못했다”고 했다.
쇼시타이시빌리 교수는 행사장에서 챗GPT를 활용한 해킹을 직접 시연하기도 했다. 해킹 공격을 지시하자 챗GPT는 처음엔 “공격을 할 수 없다”라고 대답했으나, 프롬프트(명령어)를 일부 조정하자 바로 해킹 공격이 가능한 코드를 제공했다. 챗GPT를 활용해 특정 소프트웨어의 취약점을 발견하고, 다시 챗GPT에 이 취약점을 활용한 공격을 지시한 것이다. 그는 “이같은 기술 발전은 사이버보안 분야에서 대대적인 변화를 가져올 것”이라고 했다.
크리스 호킹스 IBM 시큐리티 아시아태평양 지역 최고기술책임자(CTO)는 두번째 기조강연에서 AI와 자동화 시스템의 중요성을 강조했다. AI를 활용해 사이버 위협 탐지 속도와 규모를 늘리고 정확도를 높여야 한다는 것이다. 그는 “많은 기업들이 갖고 있는 인프라나 시스템은 통합돼 있지 않다. 분절된 시스템을 통합해서 파악하는데 AI와 자동화 시스템이 중요한 역할을 하고 있다”고 했다. 또 “클라우드와 서버 사이, 또는 데이터베이스 사이에서 이동이 있을 때 사이버 공격이 발생할 수 있기 때문에 대비를 하는 것이 중요하다”고 말했다.
AI를 활용한 보안 기술이 해킹 공격을 탐지·대응하는 보안관제의 효율성을 극대화하고 있다는 평가도 나왔다. 김종현 SK쉴더스 시큐디움 센터장은 “매일 2억5000만건의 로그가 발생해 4600건 정도를 위협 트래픽으로 분류하지만 보안관제사가 직접 위협을 분석해 대응하는 건 60여건에 불과하다”라며 “AI를 활용한 보안 기술은 정상적이지 않은 트래픽을 효과적으로 모니터링하는 탐지 영역에서 적극 활용되고 있다”라고 했다.
챗GPT를 비롯한 AI의 안전한 활용 가이드라인을 마련해야 한다는 지적도 나왔다. 이원태 한국인터넷진흥원(KISA) 원장은 “챗GPT를 이용한 악성코드 생성·배포에 대해 지속적으로 테스트를 해서 위협 수준 분석 및 탐지·차단 방안을 마련해야 한다”며 “무분별한 활용을 방지하고 챗GPT 위험성에 대한 대국민 홍보·교육을 통해 인식을 높여야 한다”고 했다.
◇ 기업서 챗GPT 남용 막으려면… 스스로 보안 체계 정립해야
이날 행사에서는 국내 대표 기업들이 챗GPT의 무분별한 활용에 어떻게 대응하고 있는지 소개됐다. 엄정용 LG CNS 보안사업담당은 “민감한 정보를 입력할 경우 별도의 AI 모델을 통해 보안관계자에게 이를 통보하도록 시스템을 구축해야 한다”며 “이를 챗GPT가 서비스해주지 않기 때문에 결국 기업이 별도로 보안에 신경을 써야 한다”고 했다.
신종회 엔씨소프트 정보보호최고책임자(CISO)는 “‘제로 트러스트’ 체계로 AI 서비스가 야기할 보안 문제를 막아야 한다”고 강조했다. 부여받은 아이디와 패스워드로 내부망에 접속하더라도 정해진 권한만 부여해야 한다는 것이다. 그는 “개인 PC나 모바일로는 데이터에 접근하지 못하게 하거나 중간 단계를 가진 보안 정보만 접근할 수 있도록 하고 있다”고 했다.
윤두식 지란지교시큐리티 대표는 “생성형 AI가 여러 경로를 통해 개인 신상까지 학습할 수 있어 무작위 해킹이 아닌 특정 개인에 맞춘 해킹이 쉬워진다”며 “생성형 AI를 활용한 공격에 대응하기 위해 검찰, 경찰, 과학기술정보통신부, 금융기관들이 새로운 연구에 돌입해야 하는 상황에 와있다”고 말했다.
한편 조지훈 삼성SDS 보안연구팀장(마스터)은 양자컴퓨팅 시대에 대비해 양자내성암호 전환을 서둘러야 한다고 했다. 그렇지 않으면 기존 암호 체계를 기반으로 한 IT 보안 체계가 흔들릴 수 있다는 것이다. 그는 “아무도 챗GPT의 등장을 예측하지 못했던 것처럼 양자컴퓨터가 예상보다 더 빠르게 등장할 수 있기 때문에 지금 당장 이 문제를 우려해야 한다”며 “양자컴퓨팅 시대에 제대로 대비하지 못하면 기존 암호 체계를 기반으로 한 IT 보안 체계가 흔들릴 수 있다”고 했다.