보이스피싱을 노린 중국 해커들이 전화를 걸면 여러분들은 최소한 ‘여보세요’라는 말이라도 하게 됩니다. 이를 녹음한 음성을 생성형 인공지능(AI)이 학습해 여러분의 완벽한 가족으로 위장할 수 있다면 큰 사회적 문제가 될 것입니다.
윤두식 지란지교시큐리티 대표가 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에 참석해 ‘사이버보안 관점에서의 생성형 AI: 발생 가능한 위협과 대응방안’을 주제로 한 강연에서 이같이 말했다.
윤 대표는 “우리나라에 일반인을 대상으로 한 보이스피싱이 굉장히 많은 가운데, 앞으로 생성형 AI를 활용한 공격에 대응하기 위해 검찰, 경찰, 과학기술정보통신부, 금융기관들이 새로운 연구에 돌입해야 하는 상황에 와있다”고 강조했다.
그러면서 “인터넷에 검색하면 생성형 AI 서비스가 넘치고 관련 툴만 2만5000개 이상”이라며 “생성형 AI를 통해 생산성 증대뿐 아니라 새로운 보안 위협도 큰 문제가 될 수 있다”고 했다.
특히 생성형 AI가 웹사이트에서만 데이터를 수집하는 것이 아니라 소셜미디어(SNS)나 여러 경로를 통해 개인 신상까지 학습할 수 있어 무작위 해킹이 아닌 특정 개인에 맞춘 해킹이 굉장히 쉬워진다는 게 윤 대표의 설명이다.
윤 대표는 “특정인의 목소리를 3초 정도만 학습해도 목소리와 톤, 말투를 복사해 그대로 재현이 가능하다”며 “이를 통해 최근 자금 이체 등을 주문하는 보이스피싱 공격이 보고되고 있다”고 밝혔다.
윤 대표는 또 생성형 AI를 통한 지능형지속공격(APT)이 활성화될 것으로 예상했다. APT는 지속적인 컴퓨터 해킹 프로세스들의 집합으로, 특정 실체를 목표로 하는 사람이나 사람들에 의해 지휘된다. 일반적으로 정부, 기업, 정치단체 등의 조직을 대상으로 공격한다.
윤 대표는 “생성형 AI를 통해 소셜 엔지니어링 공격이 가능한 사이버 에이전트가 많아질 것”이라면서 기업들이 사이버 위험을 예방할 수 있는 3가지 방법론도 소개했다.
그는 “최근 기업들이 AI 구축을 위해 LLM(거대 언어모델)을 도입하고 외부에서 데이터가 공급되는데, 보안 체크리스트에서 이러한 데이터와 시스템을 관리하는 공급자의 책임을 반드시 확인해야 한다”고 말했다.
이어 “해커가 생성형 AI를 통해 공격하기 전 우리 내부 시스템에 어떤 문제가 있는지 테스트와 시뮬레이션을 주기적으로 진행해야 한다”고 덧붙였다.
윤 대표는 “앞으로 AI가 없으면 기업 운영 자체가 어려워지는 만큼, 보안을 얼마나 철저히 갖추고 이익을 창출할 수 있는지에 대한 장기적 고민이 필요하다”고 말했다.
“챗GPT를 비롯한 인공지능(AI) 서비스가 정교해지면서, 이를 이용한 해킹 방식도 발전하고 있습니다. 하나의 계정에 최소한의 권한만 부여하는 ‘제로 트러스트(아무것도 신뢰할 수 없기 때문에 항상 검증한다는 기본 전제를 바탕으로 구현하는 보안 패러다임)’ 체계로 AI 서비스가 야기할 보안 문제를 막을 수 있을 것입니다.”
신종회 엔씨소프트 정보보호최고책임자(CISO)는 14일 서울 중구 웨스틴조선호텔에서 진행된 ‘2023 사이버보안콘퍼런스’에 참석해 ‘제로 트러스트를 활용한 인공지능(AI) 서비스의 보안 위협 대응 전략’을 주제로 한 강연에서 이같이 말했다. 신 CISO는 “기존에 IT 기업들이 사용했던 보안 솔루션은 방화벽을 통해 단순히 내·외부망을 분리하는 식으로 이뤄졌다”며 “아이디와 패스워드로 내부망에 접속하기만 하면 신뢰할 수 있는 대상으로 간주하는 식이다”라고 설명했다.
신 CISO는 기존 보안 모델이 한계를 가지고 있다고 설명했다. 그는 “최근 직원을 가장해 내부망에 접속해 중요 정보를 가로채는 사고 사례들이 접수됐다”며 “AI 기술로 해킹 툴이 점점 정교해지고 있기 때문이다”고 말했다. 이어 “이제 단순히 망을 구분하는 것으로는 보안을 완벽하게 할 수 없기에 더 촘촘한 대책이 필요하다”라고 했다.
신 CISO는 기존 보안 모델을 대체할 방안으로 ‘제로 트러스트’를 제안했다. 신 CISO는 “부여받은 아이디와 패스워드로 내부망에 접속하더라도 정해진 권한만 부여하는 동적 관리 체계가 ‘제로 트러스트’”라며 “현재 AI 서비스를 이용하는 기업들에게 주목받고 있는 보안 방식이다”라고 했다.
신 CISO는 엔씨소프트를 포함한 IT 기업들이 제로트러스트 체계를 사용하는 방식을 소개했다. 신 CISO는 “삼성전자 DS(반도체) 부문이나 SK하이닉스 등은 접속환경이나 챗GPT에 쓸 수 있는 글자 수를 제한하고 있다”고 말했다. 이어 “엔씨소프트도 내부망에서 이상 행위를 감지하기 위한 모니터링을 강화하고 있다”며 “법인 PC가 아닌 개인 PC로는 데이터에 접근하지 못하게 하거나 모바일로는 중간 단계를 가진 보안 정보만 접근하게끔 하고 있다”고 설명했다.
엔씨소프트는 현재 제로트러스트 방식을 기반으로 한 사용자 행위분석 체계를 정교화하고 있다. 신 CISO는 “제로트러스트 체계 하에서 AI가 내부망 사용자의 행위를 대량으로 학습·분석하게끔 하고 있다”며 “이를 통해 AI가 퇴직·휴직 예정자의 내부망 활동을 비롯한 이상 행위를 방지하고 보안 문제를 사전에 막고 있다”고 설명했다.
신 CISO는 제로트러스트 체계를 강화하는 식으로 보안 효율성을 높일 수 있다고 주장했다. 그는 “엔씨소프트는 사용자와 기기에 따라 접근할 수 있는 정보의 등급을 나누는 식으로 제로트러스트 체계를 업그레이드하고 있다”며 “이 같은 방식으로 특정 사용자가 정해진 정보만 이용할 수 있게 만든다면 촘촘한 보안 모니터링이 가능해질 것으로 보인다”라고 설명했다.
사이버 공간에서 국경선의 의미가 재정의되고 있습니다. 사이버 보안에 물리적인 방어선 개념을 적용하는 것만으로는 완벽하지 않습니다.
박규백 국방부 사이버작전사령관은 14일 서울 중구 웨스틴 조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에서 “총과 폭탄에 필적할 만큼 컴퓨터와 키보드가 국가 안보를 실전적으로 위협하고 있다”면서 이같이 말했다.
박 사령관은 “평소에도 위협 세력은 주체가 불분명한 사이버 공격을 실제로 가할 수 있다는 점에서 오히려 그 위험성은 더 클 수 있다”며 “국가 안보에 있어서 가장 위험한 것은 변화무쌍한 전장에서 익숙한 틀에 갇혀 가능성 있는 위협에 대응하지 못하는 것”이라고 했다.
그러면서 인공지능(AI), 양자 컴퓨터 등 첨단 기술은 사이버보안 측면에서 두 가지 시사점을 가지고 있다고 강조했다.
박 사령관은 “첨단 기술의 가능성과 취약점을 동시에 고려해야 한다”며 “방어자 입장에서는 보안 기술 향상 기회가 될 수 있지만, 위협 세력의 공격 기법 고도화는 도전 요인으로 작용한다”고 설명했다.
그는 이어 “지난 5월 있었던 나토 사령관 포럼의 주제도 인공지능 등 파괴력 신기술의 군사적 적용 방안이었는데, 핵심 이슈가 그 가능성과 취약성에 관한 것”이었다고 덧붙였다.
박 사령관은 더 이상 방화벽을 중심으로 한 차단 정책과 내부 시스템, 내부 감시 등 경계선 구축 기준의 사이버 보안만으로는 급격한 정보 환경의 변화를 따라갈 수 없다고 밝혔다.
그는 “전통적인 군사 작전에서 초수평선 작전이 필요하듯이 사이버보안도 익숙하지 않은 잠재적 위협을 선제적으로 탐지, 분석 및 예측해 적시에 대응하는 전방 방어 작전과 신기술이 요구된다”고 말했다.
그러면서 “신기술의 사이버 보안 측면에서의 취약성을 보완하기 위해서는 범국가적 글로벌 협력이 중요하다”고 강조했다.
박 사령관은 “사이버 공간에 민주적 가치를 공유하는 국가들과 협력해야 한다”며 “군에서는 미국, 나토 등과 다국적 교류 협력을 강화하고 있다”고 밝혔다.
박 사령관은 사이버 신기술의 규범화와 제도화의 필요성도 강조했다. 그는 “사이버 공간에서의 행위는 주체가 불분명하고 보이지 않는다”면서 “신기술이 책임 있게 개발되고 사용되지 않으면 법 차원은 물론 윤리적인 사회 문제가 대두될 것”이라고 했다.
그는 이어 “신기술이 예측력과 분석의 신뢰도를 높여줄 수는 있어도 최종 판단과 의사 결정의 몫은 사람”이라며 “파괴적 신기술로 만들어진 창과 방패는 법적 제도의 틀 속에서 목적에 맞게 올바르게 사용되어야 한다”고 덧붙였다.
매년 늘어나는 분석 로그 AI 활용해 탐지
“오탐 걸러주는 정확도 99.95% 이상”
인공지능(AI)을 활용한 보안 기술이 해킹 공격을 탐지·대응하는 보안관제의 효율성을 극대화하고 있다는 평가가 나왔다. AI를 활용해 급증하는 해킹 위협과 사이버 공격을 적극적이고 효과적으로 방어할 수 있다는 것이다.
김종현 SK쉴더스 시큐디움 센터장은 14일 서울 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에서 ‘AI 기반의 보안관제 한계 극복’을 주제로 발표했다. 김 센터장은 “해킹 등 외부 위협을 모니터링하는 보안관제는 외부의 적이 내부에 침투하는지를 24시간 365일 대응하는 체계를 갖추는 것”이라고 했다.
김 센터장은 “보안관제는 수집, 탐지, 분석, 대응, 보고 등으로 구성된다”라며 “위협 가능성을 수집해 탐지하고, 공격 여부를 분석해 방화벽 등으로 격리하는 방법으로 대응한다”라고 했다.
외부로부터의 해킹 공격을 보안관제해도 한계는 있다는 게 김 센터장의 평가다. 그는 “매일 2억5000만건의 로그가 발생해 4600건 정도를 위협 트래픽으로 분류하지만 보안관제사가 직접 위협을 분석해 대응하는 건 60여건에 불과하다”라며 “분석 대상 로그는 매년 15~20% 이상 늘고 있으며, 보안관제사의 개인별 역량에 따라 해킹인지 정상 통신인지에 대한 판단이 달라지는 한계가 있다”라고 했다.
사이버 공격의 진화도 보안관제가 극복해야할 과제다. 김 센터장은 “보안관제는 공격에 맞춰 대응책을 개발해 적용하는 만큼 사이버 공격의 진화에 효과적으로 대응하기가 힘들다”라며 “AI를 활용한 보안 기술은 정상적이지 않은 트래픽을 효과적으로 모니터링하는 탐지 영역에서 적극 활용되고 있다”라고 했다.
김 센터장은 “AI는 정탐과 오탐에 대한 인력 기반 분석의 문제를 해결하는 데 활용되고 있으며, 오탐을 걸러주는 데 99.95% 정확도를 보여주고 있다”라며 “진짜 공격을 확인하는데 80%를 보여주는 한계를 보이지만, 오탐에서 탁월한 역량을 보이면서 적극 활용되는 추세다”라고 했다.
이어 “정∙오탐 판단 트래픽에 대한 67%를 AI 기술로 판단한 결과 야간 교대 근무 인력 6명 감소 효과로 나타났다”라며 “인력 의존도를 최소화할 수 있고, 높은 탐지 품질을 확보할 수 있는 적용 성과를 확인했다”라고 했다.
김 센터장은 “AI를 보안관제에 활용하면서 위협 판단이 AI 자동화로 전환됐고, 기존 인력 업무는 신규 위협에 대한 연구 및 대비 등으로 바뀌고 있다”라며 “다만 확률로 알려주는 AI의 특성과 판단에 대한 근거를 명확히 밝히지 못하는 AI 한계는 AI 보안관제 운용의 고민이다”라고 했다. 그러면서 “AI를 넘어서는 ‘설명 가능한 인공지능(XAI)’이 대안이 될 수 있다고 본다”라고 덧붙였다.
“오늘날 사회가 직면한 사이버보안 문제는 화이트해커(보안 취약점을 찾아내 해커로부터 공격받지 않게 도와주는 보안 전문가)와 동일한 능력을 갖춘 기계를 개발하고 이를 무한대로 생산할 수 있다면 해결될 수 있을 것이다. 사람이 직접 육성하기 까다로운 화이트해커를 자동화된 시스템이 대신하는 미래가 도래할 수 있다는 것이다.”
얀 쇼시타이시빌리 미국 애리조나주립대 교수는 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스′에 참석해 ‘보안 취약성 평가 자동화의 과거, 현재, 그리고 미래’를 주제로 한 기조연설에서 이같이 말했다. 쇼시타이시빌리 교수는 미국 사이버안보인프라보호청(CISA) 기술 자문위원으로 활동 중인 사이버보안 전문가다. 그는 세계에서 가장 오래된 화이트해커 그룹인 ‘셸피쉬(Shellphish)’를 이끌었고, 세계 최고 권위의 해킹 방어대회 데프콘(DEFCON CTF)도 주최한 바 있다.
쇼시타이시빌리 교수가 연구하는 주요 분야는 보안 취약점을 찾아내고 수정하기 위한 소프트웨어를 분석하는 것이다. 그는 7년 전 미국 국방고등연구계획국(DARPA)의 사이버 그랜드 챌린지(CGC) 기간 동안 자동으로 이 같은 작업을 하는 ‘사이버 추론 시스템’을 세계 최초로 개발했다.
쇼시타이시빌리 교수는 사이버보안 취약점 분석 자동화의 역사를 설명하며 “2015년 유명 화이트해커인 보안 전문가 미칼 잘레스키가 퍼징이라는 개념을 고안했는데, 이때 인공지능(AI)이 일부 활용됐다”라며 “데이터 중심의 소프트웨어 분석 기법은 오늘날 생성형 인공지능(AI)과 유사한 생성형 알고리즘으로 이어지는 촉매제가 됐다”라고 했다. 퍼징이란 소프트웨어에 입력값을 무작위로 대입하고 발생하는 에러나 충돌을 모니터링하는 소프트웨어 취약점 분석 방식이다.
그는 이어 “미국 국방고등연구계획국(DARPA)에서 2016년 개최한 사이버 그랜드 챌린지(CGC) 대회는 보안 취약점 자동화 기술이 더 발전하는 계기가 됐다”라고 했다. CGC는 전 세계 사이버보안 전문가들이 모여 자동으로 해킹과 공격 방어를 할 수 있는 자동화된 프로그램을 개발, 컴퓨터가 마치 인간 해커처럼 해킹대회를 치르는 행사다.
쇼시타이시빌리 교수가 이끄는 화이트해커 그룹 셸피시는 당시 ‘메커니컬 피시(Mechanical Phish)’라는 자동화된 보안 취약점 분석 시스템을 만들어 대회에서 3등을 차지했다. 그는 “메커니컬 피시를 포함한 다양한 출품작은 자동화된 컴퓨터 시스템이 해킹시 즉각적으로 구동될 수 있음을 대회에서 입증했다”라며 “대회가 개최된 2016년을 계기로 자동화된 기술이 발전하면서, 공개적으로 알려진 컴퓨터 보안 결함 목록(CVE)이 급증했다는 점도 고무적이다”라고 했다.
다만 그는 “현존하는 소프트웨어 수와 유사한 규모로 보안 결함도 발견돼야 하지만 아직 이러한 수준까지 사이버보안 기술이 도달하지 못했다는 점에서, 보안 기술은 더 발전해야 한다”라며 기술적 한계가 존재한다고 지적했다. 그는 “소프트웨어가 다른 소프트웨어를 분석하도록 설계하기는 매우 어려운 일이다. CGC에서 개발한 프로그램도 실제 온라인에서 작동하는 일반적인 소프트웨어와 비교했을 때 기초적인 수준에 머물렀다”라며 더 많은 연구가 필요하다고 했다. 그는 “실용적이고 수준 높은 사이버보안 교육이 늘고 있으며, CGC에 참여했던 다수 연구팀과 기업이 다양한 보안 솔루션을 내놓고 있어 미래는 희망적이다”라고 덧붙였다.
쇼시타이시빌리 교수는 현재 기술의 한계를 극복할 수 있는 열쇠를 챗GPT 등 새로운 AI 기술이 쥐고 있다고 강조했다. 그는 “AI가 프로그래밍 언어(코드)를 살펴보는 속도가 사람보다 더 빠르고, 현재 AI는 잠재적인 문제 역시 식별할 수 있다”라고 했다.
이날 쇼시타이시빌리 교수는 행사장에서 챗GPT를 활용한 해킹을 직접 시연했다. 쇼시타이시빌리 교수는 챗GPT를 활용해 특정 소프트웨어의 취약점을 발견하고, 다시 챗GPT에 이 취약점을 활용한 공격을 지시했다. 해킹 공격을 지시하자 챗GPT는 처음엔 “공격을 할 수 없다”라고 대답했으나, 프롬프트(명령어)를 일부 조정하자 바로 해킹 공격이 가능한 코드를 제공했다. 이와 관련해 직후 기조연설에서 이원태 한국인터넷진흥원(KISA) 원장은 “AI가 직접 보안 취약점을 찾아내는 모습을 보니 놀랍다”라고 했다.
쇼시타이시빌리 교수는 “챗GPT를 활용해 보안 취약점을 찾아내고, 다시 챗GPT에게 보안 취약점을 공격할 수 있는 방식을 얻는 것도 가능하다. 이러한 기술 발전은 사이버보안 분야에서 대대적인 변화를 가져올 것이다. 대학교 4학년도 챗GPT를 활용해 해킹 공격과 방어를 할 수 있는 시대가 열린 것이다”라고 했다.
“보안 관점에서 바라봤을 때 생성형 AI(인공지능) 서비스인 ‘챗GPT’를 사용하지 않는 게 가장 좋은 방법입니다. 하지만 부득이하게 챗GPT를 써야한다면 사전에 프롬프트(명령어)에 주요 정보가 포함되지 않도록 통제하고, 지속적으로 프롬프트 정보를 모니터링하는 작업이 필요합니다.”
엄정용 LG CNS 보안사업담당은 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스′에 참석해 ‘생성형 AI 활용을 위한 보안 방안’을 주제로 한 강연에서 이같이 말했다. 챗GPT는 서비스 특성상 데이터에 프롬프트 정보를 저장하고, 특정 프롬프트만을 제거하는 것이 어렵다. 때문에 기업과 개인의 민감정보가 의도치 않게 타인에게 유출되고 활용될 수 있어 논란이 불거지고 있다.
엄 담당은 “임직원이 프롬프트에 민감한 정보를 입력할 경우 이를 사전에 필터링한 후 챗GPT에 연결되도록 해야 한다”며 “민감한 정보 입력할 경우 별도의 AI 모델을 통해 보안관계자에게 이를 통보하도록 시스템을 구축해야 한다”고 말했다. 그는 “이러한 과정은 챗GPT에서 서비스해주지 않는다”며 “결국 기업이 별도로 보안에 신경써야 한다”고 덧붙였다. LG CNS가 선보인 AI 보안 솔루션 시큐엑스퍼(SecuXper)도 민감한 정보를 챗GPT에 입력했을 때 이를 걸러내주는 역할을 하고 있다고 그는 설명했다.
엄 담당은 애저(Azure) 오픈AI와 같은 기업 전용 생성형 AI서비스도 고려할만한다고 했다. 그는 “챗GPT의 문제점은 하나의 통일된 학습모델을 사용해 활용한다는 것”이라며 “전용 생성형 AI에서 제출된 프롬프트는 사용자가 별도로 데이터 사용을 허가하는 경우를 제외하고는 일반학습에 이를 사용하지 않는다”고 했다. 이어 “전용 생성형 AI는 악용 방지를 위해 정보를 30일간 보관하기는 하지만, 이를 기업 클라우드에만 보관한다”고 덧붙였다.
다만, 전용 생성형 AI서비스를 사용한다고 해서 보안을 신경 쓰지 않아도 된다는 이야기는 아니다. 사용자의 권한 관리와 클라우드 환경 보안은 필수다.
엄 담당은 “모든 임직원이 인사, 핵심기술, 전략에 똑같은 접근성을 갖도록 하면 안된다”며 “AI 활용 목적과 범위에 따라 프롬프트를 사전에 통제하거나 권한별 분석모델을 생성해야 한다”고 했다. 가령 기업은 전용 생성형 AI 모델에 임직원이 민감한 정보를 입력하는 것을 허용할 것인가를 판단하고, 허용한다면 인사, 연구개발 등 특정조직을 위한 별도 분석모델을 만들어야 한다는 이야기다.
그는 클라우드 환경보안에 대해서는 “기업 클라우드에 대한 권한을 제대로 통제하지 않으면, 퇴사자나 전임자가 회사 정보에 접촉을 시도할 수 있다”며 “접근권한 등 클라우드 자산에 대해 지속적인 보안 유지 활동이 뒷받침되어야 한다”고 했다.
엄 당당은 특히 클라우드에 존재하는 가상환경 관리 영역에 집중해야한다고 강조했다. 그는 “설정관리에 집중하지 않으면 인가받지 않은 사람이나 해커로부터 악용될 수 있다”며 “전통방식으로는 한계가 있어 여러 기업이 제공하는 이상징후 모니터링를 활용하는 게 좋고, LG CNS 역시 이를 사용하고 있다”고 했다.
“아시아태평양 지역은 지난 2년 동안 가장 많은 사이버 공격을 받은 지역입니다. 인공지능(AI)을 활용해 탐지 속도와 규모를 늘리고 정확도를 높여 사이버 위협에 선제적으로 대응해야 합니다. 그렇지 않으면 해커들은 취약점을 집중적으로 공략할 것입니다”
크리스 호킹스 IBM 시큐리티(IBM Security) 아시아태평양 지역 최고기술책임자(CTO)는 14일 서울 중구 웨스틴조선호텔에서 진행된 ‘2023 사이버보안콘퍼런스’에서 이같이 말했다. IBM 시큐리티는 IBM의 보안사업부다. 호킹스 CTO는 국제 공인 정보 시스템 보안 전문가(CISSP)로 지난 25년 동안 45건의 사이버 보안 특허를 받았는데, 2013년에는 IBM의 보안 특허 포트폴리오에 지속적으로 기여한 공로를 인정받아 ‘마스터 발명가(Master Inventor)’로 선정되기도 했다.
호킹스 CTO는 지난 3월 IBM 시큐리티가 낸 연례 보고서인 ‘엑스포스 위협 인텔리전스 인덱스(X-Force Threat Intelligence Index)’를 언급하면서 “공격자들은 다양한 인프라와 기술을 활용해 스피어피싱, 랜섬웨어 등의 공격을 하고 있다”며 “많은 정부 기관과 기업들이 피해를 입고 있고 이를 복구하고자 시간과 비용을 투입하고 있다”고 했다. 그러면서 “복구하는데 걸리는 시간을 줄이고 선제적으로 데이터 보호를 하기 위해서는 AI와 자동화의 도움을 받아야 한다”고 덧붙였다.
그는 “보안 전문가가 모든 상황에 개입하기는 어렵기 때문에 반복적인 작업 같은 경우 자동화가 필요하다. 사람은 좀 더 가치 있고 생산적인 일에 집중하면 된다”며 “AI를 활용해 사이버 위협 대응의 정확성과 속도를 높이는 것은 물론 보안관리 비용도 낮출 수 있다”고 했다. 또 “새로운 기술을 적용하는 게 쉽지 않은 일이기 때문에, 개방형 소스를 활용하면 위협 관리와 데이터 보안, 액세스 관리에 있어서 속도와 규모를 확보할 수 있을 것”이라고 했다.
호킹스 CTO는 많은 기업들이 자신들이 가진 인프라와 소프트웨어 자산에 대해 완전히 파악하고 있지 못하다고 지적했다. 그는 “보안 환경이 갈수록 복잡해지고 있는 가운데, 많은 기업들이 갖고 있는 인프라나 시스템이 통합돼 있지 않아 보안 담당자들이 위기 상황을 분석하는데 어려움을 겪고 있다”며 “데이터가 어디에 존재하는지, 어떤 흐름으로 이동하는지를 파악하는 것도 데이터 보호에 있어서 중요한 부분”이라고 말했다. 또 “클라우드와 서버 사이, 또는 데이터 베이스 사이에서 이동이 있을 때 사이버 공격이 발생할 수 있기 때문에 대비를 하는 것이 중요하다”고 말했다.
그러면서 “분절된 시스템을 통합해서파악하는데 AI와 자동화 시스템이 중요한 역할을 하고 있다”며 “보안 담당자는 효율적, 자율적으로 생산적인 업무를 할 수 있고 AI를 통해 발견된 지식은 보안 담당자는 물론 전사적으로 공유하는 것도 가능해졌다”고 말했다.
“챗GPT 등 초거대 AI는 혁신적인 기술이지만 기술적 한계와 부정적 평가가 존재한다.”
이원태 한국인터넷진흥원(KISA) 원장은 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에서 이렇게 말하며 인공지능(AI) 시대의 사이버 보안 위협에 대응하기 위한 3가지 방안을 제시했다.
이 원장은 “초거대 AI는 거짓을 사실처럼 답변하거나 최신 정보는 반영하지 못하는 등 고유의 기술적 한계가 있고, 잘못된 정보가 활용되거나 기술을 악용하는 사례 등 역기능 우려로 인한 부정적인 평가가 나온다”며 “초거대 AI의 안전한 활용을 위해 공평성, 투명성, 활용 적합성 등 다양한 요소들에 대한 평가 및 검증이 필요하다”고 했다.
그는 “사이버 공격·범죄에 활용될 가능성 역시 존재한다”며 “잠재적 위협이 존재하는 만큼 정부의 규제가 필요하다는 목소리도 나온다”고 했다. 현재 우리나라 정부는 챗GPT 활용 안내서를 발간하는 등 안전한 도입을 추진 중이다. 행정안전부는 챗GPT 활용방법 및 주의사항 안내서를 발간했고, 개인정보보호위원회와 KISA는 개인정보 이용 가이드라인을 마련했다.
이 원장은 ‘악용 가능성 및 잠재적 보안 위협에 대한 선제적 조치’를 강조했다. 그는 “증가하는 피싱 공격 대응을 위한 기술적 보안 대책 강화 및 교육을 추진해야 한다”며 “챗GPT를 이용한 악성코드 생성·배포에 대한 지속적인 테스트를 통해 위협 수준 분석 및 탐지·차단 방안을 마련해야 한다”고 했다.
이 원장은 이어 “안전한 활용 가이드라인을 마련해야 한다”며 “챗GPT 안전 활용지침을 마련해 무분별한 활용을 방지하고 결과물 오남용, 민감정보 유출 등을 완화해야 한다. 챗GPT 위험성에 대한 대국민 홍보·교육을 통해 인식제고 노력을 추진해야 한다”고 했다.
이 원장은 마지막으로 “초거대 AI 보안 대응 체계를 확립해야 한다”며 “챗GPT 등 초거대 AI 전반에 대한 종합적인 보안 프레임워크를 마련해야 한다”고 했다. 그는 “진화하는 AI 보안 위협에 대한 핵심 대응역량 또한 제고해야 한다”며 “여기에는 인력양성, 연구개발(R&D), 제도 정비 등이 포함된다”고 했다.
이 원장은 이날 AI 시대 보안의 방향성도 제시했다. 그는 “AI는 데이터를 수집하는 단계부터 모델 학습, 결과물 활용까지 모든 영역에서 보안 위협이 발생할 수 있다”며 “AI 모델과 서비스를 개발할 때 설계에서부터 보안을 고려할 필요가 있다”고 했다.
이 원장은 AI 개발사 등을 포함한 다양한 이해관계자와 함께 글로벌 경쟁력 강화를 위한 AI 보안 체계 마련도 촉구했다. 글로벌 빅테크 기업 의존도가 높은 다른 나라에 비해 우리나라는 전 세계에서 몇 안되는 초거대 AI 모델을 보유한 국가이기 때문이란 설명이다.
이 원장은 “AI는 막대한 부가가치를 창출하는 신산업 분야로, 챗GPT 등장과 함께 전세계적으로 관련 연구·투자가 가속화되고 있다”며 “혁신의 가치를 저해하지 않으면서 안전하게 활용할 수 있도록 균형적인 보안 정책 및 대응 체계 마련이 필요하다”고 했다.
“인공지능(AI)을 악용한 사이버 공격과 방어의 싸움은 창과 방패처럼 계속 이어지고 있다. 이런 싸움에서 AI의 혁신적인 가치를 지속 가능하게 이용하려면 섣부르게 AI 규제를 도입하기보다는 초거대 AI 시대에 걸맞은 새로운 지침이 전 지구적으로 마련돼야 한다.”
14일 서울 중구 웨스틴조선호텔에서 ‘인공지능(AI) 시대의 사이버 위협’을 주제로 열린 ‘2023 사이버보안콘퍼런스’ 패널토의에서 참석자들은 사이버 보안 분야에서 챗GPT를 비롯한 초거대 AI 활용과 규제는 균형 있게 추진해야 한다고 입을 모았다. 토의는 임종인 고려대 정보보호대학원 석좌교수가 좌장을 맡았고, 세계에서 가장 오래된 화이트해커 그룹인 ‘셸피쉬’를 이끈 얀 쇼시타이시빌리 미국 애리조나주립대 교수와 AI 관련 규범을 연구하는 이원태 한국인터넷진흥원(KISA) 원장이 패널로 참여했다.
쇼시타이시빌리 교수는 “챗GPT를 포함한 여러 거대 언어모델은 보안 문제 해결 능력이 뛰어나다”며 “아직 정보가 충분하지는 않지만, 현재까지 생성형 AI는 기술적인 측면에서 보안 모델의 취약점을 발견해 어떻게 해결해야 하는지를 잘 보여주고 있다”고 말했다.
이 원장은 “기존 산업에 적용한 규제처럼 AI를 규제하면 한국이 AI 경쟁력을 확보하는 데 큰 걸림돌이 될 수 있다”며 “AI 규제를 전통적인 산업 규제로 접근해선 안 된다”고 말했다. 그는 “초거대 AI의 가치를 제대로 활용해 보기도 전에 우리는 지금 유럽 등 해외 AI 규제 모델을 들여와 적용하는 측면이 강하다”며 “AI를 충분히 활용해 사이버 보안 방어에 활용할 수 있으므로 AI로 인해 유발된 위협을 균형감 있게 규제하려는 노력이 우선돼야 한다”고 말했다.
다만 참석자들은 챗GPT 등 생성형 AI를 악용해 사이버 공격의 기술 장벽이 점차 낮아지고 있다는 점에 우려를 표했다. 이런 피해를 최소화하기 위해 중장기적으로는 AI 활용 교육을 비롯해 AI 특성에 맞는 새로운 규제 체제를 마련해야 한다고 강조했다.
쇼시타이시빌리 교수는 “최근 사이버 공격 추세를 보면, 공격자의 스킬이 기술적으로 뛰어나지 않아도 쉽게 공격하는 경우가 늘고 있다”며 “현재 챗GPT 등은 사이버 공격에 대응하는 방어 태세가 어느 정도 잘 갖춰져 있지만, 어마어마한 자원을 방어에 투입해야 공격자와 같은 수준에 도달할 수 있다는 게 문제로 대두하고 있다”고 말했다.
그러면서 그는 “더 많은 자원을 투입해 생성형 AI의 방어 역량을 키울 필요가 있으며, 실제로 앞으로는 보안을 도와주는 툴이 더 많이 생겨날 것”이라고 말했다. 그는 또 “AI를 활용해 보안 전문가를 기르는 프로그램도 마련돼 있으므로, 이런 교육이 확산하면 AI 오용도 막을 수 있을 것”이라고 말했다.
이 원장은 “현재 정부 차원에서도 AI 활용 가이드라인을 마련하고 있으나, 개별 기업들도 AI 개발과 응용의 전 과정에서 보안을 적용하는 절차를 강화해 AI 시스템이 통합적으로 관리될 수 있는 체계를 구축하는 게 중요하다”고 말했다. 그는 “궁극적으로는 AI를 안전하게 활용하기 위한 기본적인 원칙들이 정책 개발자부터 사용자 모두에게 내면화되는 게 가장 중요하다”며 “정부에서도 AI 활용과 규제 규범에 대해 보다 적극적으로 목소리를 내 국제적 협력을 강조해야 한다”고 말했다.
“암호 알고리즘 기반 IT 보안, 양자컴퓨팅에 무너질수도”
조지훈 삼성SDS 보안연구팀장(마스터)은 다가오고 있는 양자컴퓨팅 시대에 대비해 양자내성암호 전환을 서둘러야 한다고 강조했다. 이르면 10년 내에 본격화될 수 있는 양자컴퓨팅 시대에 제대로 대비하지 못하면 기존 암호 체계를 기반으로 한 IT 보안 체계가 흔들릴 수 있다는 지적이다.
조지훈 마스터는 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에서 “현대 IT 시스템의 보안은 1976년 수학적 난제를 기반으로 한 암호 알고리즘을 바탕으로 설계돼 있다”며 “문제는 이 수학 문제를 풀 수 있는 양자컴퓨터가 개발되고 있기 때문에 이에 대비해야 한다”라고 설명했다.
조 마스터는 양자컴퓨팅 시대에 IT 인프라 보안을 지킬 수 있는 대안으로 양자내성암호를 언급했다. 양자내성암호란 기존 컴퓨터나 양자컴퓨팅 환경에서도 안전한 암호 알고리즘을 말한다. 오는 2024년 4종의 알고리즘이 1차 표준화가 완료될 예정이다.
그는 “전 세계 퀀텀 컴퓨팅 전문가 47명은 결론적으로 10년에서 15년 사이에 암호 알고리즘을 깨뜨릴 수 있는 양자컴퓨터의 등장을 예상했다”며 “아무도 챗GPT의 등장을 예측하지 못했던 것처럼 더 빠르게 등장할 수도 있기 때문에 지금 당장 이 문제를 우려해야 한다”고 말했다.
조 마스터는 “해외에선 양자내성암호와 관련한 가이드라인이 이미 나왔다. 각종 표준화 기구에서도 양자내성암호와 관련한 상세 문서가 여러 개 배포돼 있다”며 “지난해 미국 정부에서도 긴박하게 양자내성암호 전환과 관련한 계획 수립을 지시했다. 12월에는 법으로 관련 내용이 제정됐다”고 설명했다.
문제는 양자내성암호로 시스템을 전환하기 위한 비용과 시간이 만만치 않다는 것이다. 그는 “미국 정부도 (양자내성암호로) IT 시스템을 전환하는데 10년이 걸릴 것을 예상한다”며 “우선순위를 정해야 한다. 전환도 신중해야하지만 미리 내가 어떤 문제가 있는지 어떤 암호를 어떻게 쓰는지 식별하는 것이 먼저다”라고 강조했다.