“챗GPT를 비롯한 인공지능(AI) 서비스가 정교해지면서, 이를 이용한 해킹 방식도 발전하고 있습니다. 하나의 계정에 최소한의 권한만 부여하는 ‘제로 트러스트(아무것도 신뢰할 수 없기 때문에 항상 검증한다는 기본 전제를 바탕으로 구현하는 보안 패러다임)’ 체계로 AI 서비스가 야기할 보안 문제를 막을 수 있을 것입니다.”
신종회 엔씨소프트 정보보호최고책임자(CISO)는 14일 서울 중구 웨스틴조선호텔에서 진행된 ‘2023 사이버보안콘퍼런스’에 참석해 ‘제로 트러스트를 활용한 인공지능(AI) 서비스의 보안 위협 대응 전략’을 주제로 한 강연에서 이같이 말했다. 신 CISO는 “기존에 IT 기업들이 사용했던 보안 솔루션은 방화벽을 통해 단순히 내·외부망을 분리하는 식으로 이뤄졌다”며 “아이디와 패스워드로 내부망에 접속하기만 하면 신뢰할 수 있는 대상으로 간주하는 식이다”라고 설명했다.
신 CISO는 기존 보안 모델이 한계를 가지고 있다고 설명했다. 그는 “최근 직원을 가장해 내부망에 접속해 중요 정보를 가로채는 사고 사례들이 접수됐다”며 “AI 기술로 해킹 툴이 점점 정교해지고 있기 때문이다”고 말했다. 이어 “이제 단순히 망을 구분하는 것으로는 보안을 완벽하게 할 수 없기에 더 촘촘한 대책이 필요하다”라고 했다.
신 CISO는 기존 보안 모델을 대체할 방안으로 ‘제로 트러스트’를 제안했다. 신 CISO는 “부여받은 아이디와 패스워드로 내부망에 접속하더라도 정해진 권한만 부여하는 동적 관리 체계가 ‘제로 트러스트’”라며 “현재 AI 서비스를 이용하는 기업들에게 주목받고 있는 보안 방식이다”라고 했다.
신 CISO는 엔씨소프트를 포함한 IT 기업들이 제로트러스트 체계를 사용하는 방식을 소개했다. 신 CISO는 “삼성전자 DS(반도체) 부문이나 SK하이닉스 등은 접속환경이나 챗GPT에 쓸 수 있는 글자 수를 제한하고 있다”고 말했다. 이어 “엔씨소프트도 내부망에서 이상 행위를 감지하기 위한 모니터링을 강화하고 있다”며 “법인 PC가 아닌 개인 PC로는 데이터에 접근하지 못하게 하거나 모바일로는 중간 단계를 가진 보안 정보만 접근하게끔 하고 있다”고 설명했다.
엔씨소프트는 현재 제로트러스트 방식을 기반으로 한 사용자 행위분석 체계를 정교화하고 있다. 신 CISO는 “제로트러스트 체계 하에서 AI가 내부망 사용자의 행위를 대량으로 학습·분석하게끔 하고 있다”며 “이를 통해 AI가 퇴직·휴직 예정자의 내부망 활동을 비롯한 이상 행위를 방지하고 보안 문제를 사전에 막고 있다”고 설명했다.
신 CISO는 제로트러스트 체계를 강화하는 식으로 보안 효율성을 높일 수 있다고 주장했다. 그는 “엔씨소프트는 사용자와 기기에 따라 접근할 수 있는 정보의 등급을 나누는 식으로 제로트러스트 체계를 업그레이드하고 있다”며 “이 같은 방식으로 특정 사용자가 정해진 정보만 이용할 수 있게 만든다면 촘촘한 보안 모니터링이 가능해질 것으로 보인다”라고 설명했다.