AI 시대 사이버 위협과 대응 방안 논의
얀 쇼시타이시빌리 애리조나주립대 교수·크리스 호킹스 IBM시큐리티 아시아태평양 CTO 강연
이원태 KISA 원장·임종인 고려대 석좌교수·조지훈 삼성SDS 마스터 참석
LG CNS·엔씨소프트·SK쉴더스·지란지교시큐리티 등 국내 최고 전문가 총출동
‘2023 사이버보안 콘퍼런스’가 14일 오전 서울 중구 웨스틴조선호텔에서 개막했다. 이번 콘퍼런스는 ‘인공지능(AI) 시대의 사이버 위협’을 주제로 AI를 악용해 고도화되고 있는 사이버 위협 양상을 진단하고 이를 방어할 수 있는 보안 트렌드를 알아보는 자리다. 조선비즈가 주최하고 과학기술정보통신부와 방송통신위원회가 후원하는 이번 행사는 이른 아침부터 약 300명의 정부, 학계, 산업계 관계자들이 참석해 AI 시대 사이버 위협에 대한 뜨거운 관심을 나타냈다.
AI의 발달로 보이스피싱을 비롯한 사이버 공격의 형태는 정교해지고 있다. 해킹 집단은 AI를 이용해 새로운 방식으로 정부나 기업 네트워크에 침입할 수 있게 됐다. 최근에는 챗GPT와 같은 생성형 AI를 악용한 사이버 공격도 늘어나고 있다. 해킹 진입 장벽은 낮아진 반면 공공기관과 기업은 처리하는 데이터양이 많아지면서 해킹 위협에 노출될 가능성이 더 커졌다. 예측하기 어려운 공격 수단이 새롭게 등장하면서 기존의 방어 메커니즘으로 이를 막아내기는 역부족이라는 얘기가 나온다.
사이버 보안 지형이 급격하게 바뀌고 있는 가운데 더 똑똑한 대비책을 마련해야 한다는 목소리가 높아지고 있다. 사이버 공격을 탐지하고 대응하는 것만으로는 더 이상 충분하지 않고, 사전 예방 조치를 강화해야 한다는 지적이다. 공격자보다 한발 앞서 적극적으로 사이버 공격을 방어하는 기술이 주목받는 이유이기도 하다. ‘2023 사이버보안 콘퍼런스’에서는 생성형 AI를 악용한 보안 위협과 그에 대한 대응 방법을 다각도로 논의한다.
첫 기조강연은 얀 쇼시타이시빌리(Yan Shoshitaishvili) 미국 애리조나주립대 교수가 맡았다. 그는 세계에서 가장 오래된 화이트해커 그룹 ‘셸피쉬’를 이끌었고, 최고 권위의 해킹 방어대회 ‘데프콘’을 주최했다. 소프트웨어를 자동으로 분석해 보안 취약점을 찾는 사이버 추론 시스템을 개발한 쇼시타이시빌리 교수는 이번 강연에서 자동화 시스템의 미래 기능과 사이버 보안의 새로운 영역을 소개한다.
두번째 기조강연엔 크리스 호킹스(Chris Hockings) IBM시큐리티 아태지부 최고기술경영자(CTO)가 나선다. 호킹스 CTO는 국제 공인 정보 시스템 보안 전문가로, 지난 25년 동안 45건의 사이버 보안 특허를 받았다. 그는 AI를 활용해 사이버 위협을 효과적으로 방어할 방법을 전한다.
이어지는 강연에서는 이원태 한국인터넷진흥원(KISA) 원장이 ‘초거대 AI의 보안 위협과 대응’을 주제로 강연한다. 챗GPT가 AI 혁신을 이끌 것으로 주목받고 있으나, 이로 인한 보안 위협의 종류와 수준은 어떠한지 짚어보고 향후 초거대 AI 모델을 안전하게 활용하기 위한 방향을 논의한다. 이어 임종인 고려대 석좌교수가 좌장으로 나서 쇼시타이시빌리 교수, 이 원장과 함께 대담을 나눈다.
오후에는 조지훈 삼성SDS 보안연구 마스터가 ‘양자 컴퓨터 시대의 보안 위협과 대응 방안’을 주제로 동형암호 기술을 소개한다. 엄정용 LG CNS 보안사업담당은 챗GPT로 인한 정보유출을 막기 위해 기업형 오픈AI를 사용하는 기업이 늘어나고 있는 상황에서 기업들이 고려해야 할 사항이 무엇인지 전한다. 신종회 엔씨소프트 최고정보보호책임자(CISO)는 보안 통제를 위해 ‘제로 트러스트’ 보안 모델을 구현하는 전략을 소개한다.
김종현 SK쉴더스 시큐디움 센터장은 AI 기반의 보안관제의 한계점과 이를 극복하는 방안에 대해 강연한다. 윤두식 지란지교시큐리티 대표는 AI 서비스를 이용하는 과정에서 생기는 다양한 보안 이슈에 대해 짚어보고 개인과 기업, 정부 측면에서 대응할 방안을 설명할 예정이다.
“국가정보원은 동맹국 협력을 최우선으로, 사이버공격에 공세적으로 대응할 것이다. 북한의 가상자산 차단과 국가 배후 해킹 추적, 공격 실체 폭로 등을 보다 적극적으로 전개하겠다.”
백종욱 국정원 3차장은 14일 서울 중구 웨스틴 조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에서 “국정원은 인공지능(AI) 시대 사이버안보를 위해 각별한 노력을 다해 나가고 있다”라며 이렇게 말했다.
백 차장은 “국정원은 동맹국 협력을 최우선으로, 사이버 공격에 공세적으로 대응할 것이다”리며 “북한의 가상자산 차단과 국가 배후 해킹 추적, 공격 실체 폭로 등을 보다 적극적으로 전개하겠다”라고 했다.
새로운 기술에 대한 보안 가이드라인을 선제적으로 만들어 나가겠다는 의지도 드러냈다. 그는 “이달 중으로 챗GPT 활용에 대한 보안 가이드라인을 배포할 예정이다”라며 “스마트시티, 도심항공교통(UAM) 등 첨단 환경에 대해서도 선제적인 대비책을 강구하겠다”라고 했다.
백 차장은 “지난 4월 한미정상회담에서 전략적 사이버안보 협력 프레임워크를 공동 발표한 바 있다”라며 “후속으로 한미 간 정보 공유, 합동 훈련 등의 전략과제 구체화를 검토 중이다”라고 했다.
전 세계와 협력해 사이버위협에 유기적이고 입체적으로 대응하겠고 거듭 강조했다. 백 차장은 “국정원은 지난해 판교에 개소한 ‘국가사이버안보 협력센터’를 통해 국내 산학연과 외국 기관, 글로벌 업체와 협력체계를 구축하고 있다”라며 “정보 경쟁력 확보를 위해 AI 활용방안을 고민하는 동시에 AI를 악용한 사이버공격에 어떻게 대비하고 대응할지 고민하고 있다”라고 했다.
백 차장은 마지막으로 “사이버공격을 어떻게 막고, 필요한 정보가 어디에 있으며, 공격 주체가 누구인지 등을 살피는데 국정원의 역량을 집중하겠다”라고 했다.
“지난 한 해 사이버 공격 ‘시도’만 해도 하루 평균 180만건에 달하며 상당 부분 북한과 연계된 것으로 추정하고 있습니다. 챗GPT의 출현 등 인공지능(AI) 시대로 접어들면서 민관이 머리를 맞대 고도화된 사이버 위협에 더욱 적극적으로 대응하는 것이 필요합니다.”
유상범 국민의힘 의원은 14일 서울 중구 웨스틴 조선호텔에서 진행된 ‘2023 사이버보안콘퍼런스’ 축사에서 최근 국내외 사이버 안보 위협의 수위와 공세가 거세지고 있다는 점을 언급하며 민관의 대응 협력을 주문했다.
유 의원은 “러시아가 우크라이나에 대한 전면 침공전, 대대적인 사이버공격을 감행해 우크라이나 정부기관망과 위성, 광역통신망을 무력화시키고, 전력과 원자력 시스템을 공격해 군사지휘통제를 교란시킨 것은 널리 알려진 사실”이라며 “올해 치러진 튀르키예 대선은 ‘딥페이크(인간이미지 합성 기술) 선거’였으며 ‘이변의 원인’으로 지목받기도 했다”고 말했다.
유 의원은 이어 “국내에서는 통신, 금융, IT 등 국민 생활과 밀접한 민간 회사의 개인정보 유출 문제가 심각하다”며 “얼마 전 북한 해커 조직이 중앙선거관리위원회를 공격했다는 사실이 드러나 국민들께 큰 충격을 준 것과 같이 북한의 사이버 위협 또한 잦아지고 있다”고 덧붙였다.
국정원에 따르면 지난 10년간 우리 국가기관에서 발생한 사이버 공격 피해는 총 3만5869건이며 피해의 절반 이상이 북한 해킹조직의 소행으로 보고 있다. 지난 한 해 사이버 공격 ‘시도’만 해도 하루 평균 180만건에 달하며 이 또한 상당 부분 북한과 연계된 것으로 추정하고 있다.
그는 “특히 지난 한해 북한이 전 세계에서 훔친 가상화폐가 2조원이 넘고, 해킹으로 획득한 자금을 핵·미사일 등 첨단 무기 개발에 활용하며 실질적 핵위협을 가하고 있는 것이 현실”이라며 “사이버보안콘퍼런스에서 인공지능 시대에 사이버 위협이 어떻게 진화하고 있는지 공유하고, 정부 기관과 기업들, 각 개인이 어떻게 대응해야 하는지에 대해서 심도 깊은 논의의 장이 열릴 것으로 기대한다”고 말했다.
“‘챗GPT’ 등 생성형 인공지능(AI)의 등장은 사이버 공격의 진입 장벽을 낮추고 있으며, 최근에는 국가간 전쟁에서도 사이버 공격이 활용되고 있습니다. 사이버보안은 디지털 시대 최우선 어젠다로 그 중요성을 아무리 강조해도 지나치지 않을 것입니다. 이에 사람과 기술에 대한 투자를 강화할 것입니다.”
박윤규 과학기술정보통신부 2차관은 14일 서울 중구 웨스틴 조선호텔에서 진행된 ‘2023 사이버보안콘퍼런스’ 축사에서 “디지털 시대 사이버위협은 더욱 고도화, 지능화되고 있다”며 이같이 말했다. 그는 특히 챗GPT를 통해 AI에 대한 기대와 우려가 교차하고 있는 상황을 언급했다.
사이버위협이 커지면서 올해 1월 세계경제포럼은 ‘사이버 범죄 및 불안 확산’을 주요 글로벌 리스크로 꼽았다. 지난 4월 워싱턴DC 한미 정상회담에서는 양국이 ‘한미 전략적 사이버안보 협력 프레임워크’를 채택하고, 급증하는 사이버위협에 공동 대응하기 위해 사이버안보를 국가의 정책적 우선순위로 설정할 것을 선언했다.
박 차관은 과기정통부도 사이버보안에 힘쓰고 있다고 강조했다. 그는 “지난해 7월 정보보호의 날 기념식에 대통령이 참석해 ‘사이버 10만 인재 양성’을 선포했고, 이에 따라 과기정통부는 사이버보안의 미래를 책임질 인재를 양성하기 위해 다각적인 노력을 기울이고 있다”며 “정규 교육 강화를 위해 정보보호특성화대학과 융합보안대학원을 확대하고, 최고급 보안제품개발자 육성 과정인 ‘S-개발자’와 인재선발부터 취업까지 기업과 함께 인재를 양성하는 ‘시큐리티 아카데미’ 과정을 개설했다”고 말했다.
정부는 지난해 10월 ‘사이버보안’이 12대 국가전략기술 중 하나로 선정했다. 박 차관은 이에 따라 과기정통부는 사이버보안 연구개발(R&D) 지원을 강화하고 있다고 설명했다. 그는 “올해 1000억원 가량을 투자해 6G(6세대 이동통신)·메타버스 등 핵심 보안 신기술 개발을 지원하고 더 나아가 전세계 보안 패러다임 전환에 발맞춰 사이버보안 능동 대응 기술 확보를 위한 대형 연구개발(R&D) 예비타당성 사업도 추진할 계획”이라고 했다.
지난해 이어 올해 두번째 사이버보안콘퍼런스 개최
얀 쇼시타이시빌리 교수 “미래에는 자동화 시스템이 사람 대신 공격 방어할 것”
”기업들 스스로 보안 지침 마련해야”
”대국민 홍보·교육도 필수”
조선비즈가 14일 서울 중구 웨스틴조선호텔에서 개최한 ‘2023 사이버보안콘퍼런스’가 성황리에 막을 내렸다. 이번 행사는 ‘인공지능(AI) 시대 사이버 위협’를 주제로 진행됐으며, 과학기술정보통신부와 방송통신위원회가 후원했다. 지난해에 이어 두번째로 열린 행사에는 이른 아침부터 약 300명의 정부, 학계, 산업계 관계자들이 모였다.
참석자들은 AI를 악용한 사이버 공격과 방어의 싸움이 창과 방패처럼 계속 이어진다고 하면서도, 섣부르게 AI 규제를 도입하거나 사용을 막기보다는 AI 시대에 걸맞은 새로운 지침이 마련돼야 한다는 데 의견을 모았다. 유상범 국민의힘 의원은 축사를 통해 “챗GPT의 출현 등 AI 시대로 접어들면서 민관이 머리를 맞대 사이버 위협에 적극적으로 대응하는 것이 필요하다”며 “국회에서 입법과 제도 개선을 위해 최선의 노력을 다하겠다”고 말했다.
백종욱 국가정보원 3차장은 축사에서 “국정원은 AI 시대 사이버안보를 위해 동맹국 협력을 최우선으로 사이버 공격에 공세적으로 대응하겠다”고 말했다. 박윤규 과학기술정보통신부 2차관은 “사이버보안은 디지털 시대 최우선 어젠다”라며 “사람과 기술에 대한 투자를 강화하겠다”고 말했다. 박규백 국방부 사이버작전사령관은 “총과 폭탄에 필적할 만큼 컴퓨터와 키보드가 국가 안보를 실전적으로 위협하고 있다”면서 “익숙한 틀에 갇혀 변화무쌍한 전장에서 위협에 대응하지 못하면 위험하다”고 지적했다.
◇ AI·자동화 시스템, 사이버 위협 탐지에 활용
이날 행사에서는 AI와 자동화 시스템을 활용해 사이버 위협에 선제적으로 대응해야 주장이 제기됐다. 첫번째 기조강연을 맡은 얀 쇼시타이시빌리 미국 애리조나주립대 교수는 “사람이 직접 육성하기 까다로운 화이트해커(보안 취약점을 찾아내 해커로부터 공격받지 않게 도와주는 보안 전문가) 대신 미래에는 자동화된 시스템이 대체할 수 있을 것”이라며 “현존하는 소프트웨어 수와 유사한 규모로 보안 결함도 발견돼야 하지만 아직 이 같은 수준까지 사이버보안 기술이 도달하지는 못했다”고 했다.
쇼시타이시빌리 교수는 행사장에서 챗GPT를 활용한 해킹을 직접 시연하기도 했다. 해킹 공격을 지시하자 챗GPT는 처음엔 “공격을 할 수 없다”라고 대답했으나, 프롬프트(명령어)를 일부 조정하자 바로 해킹 공격이 가능한 코드를 제공했다. 챗GPT를 활용해 특정 소프트웨어의 취약점을 발견하고, 다시 챗GPT에 이 취약점을 활용한 공격을 지시한 것이다. 그는 “이같은 기술 발전은 사이버보안 분야에서 대대적인 변화를 가져올 것”이라고 했다.
크리스 호킹스 IBM 시큐리티 아시아태평양 지역 최고기술책임자(CTO)는 두번째 기조강연에서 AI와 자동화 시스템의 중요성을 강조했다. AI를 활용해 사이버 위협 탐지 속도와 규모를 늘리고 정확도를 높여야 한다는 것이다. 그는 “많은 기업들이 갖고 있는 인프라나 시스템은 통합돼 있지 않다. 분절된 시스템을 통합해서 파악하는데 AI와 자동화 시스템이 중요한 역할을 하고 있다”고 했다. 또 “클라우드와 서버 사이, 또는 데이터베이스 사이에서 이동이 있을 때 사이버 공격이 발생할 수 있기 때문에 대비를 하는 것이 중요하다”고 말했다.
AI를 활용한 보안 기술이 해킹 공격을 탐지·대응하는 보안관제의 효율성을 극대화하고 있다는 평가도 나왔다. 김종현 SK쉴더스 시큐디움 센터장은 “매일 2억5000만건의 로그가 발생해 4600건 정도를 위협 트래픽으로 분류하지만 보안관제사가 직접 위협을 분석해 대응하는 건 60여건에 불과하다”라며 “AI를 활용한 보안 기술은 정상적이지 않은 트래픽을 효과적으로 모니터링하는 탐지 영역에서 적극 활용되고 있다”라고 했다.
챗GPT를 비롯한 AI의 안전한 활용 가이드라인을 마련해야 한다는 지적도 나왔다. 이원태 한국인터넷진흥원(KISA) 원장은 “챗GPT를 이용한 악성코드 생성·배포에 대해 지속적으로 테스트를 해서 위협 수준 분석 및 탐지·차단 방안을 마련해야 한다”며 “무분별한 활용을 방지하고 챗GPT 위험성에 대한 대국민 홍보·교육을 통해 인식을 높여야 한다”고 했다.
◇ 기업서 챗GPT 남용 막으려면… 스스로 보안 체계 정립해야
이날 행사에서는 국내 대표 기업들이 챗GPT의 무분별한 활용에 어떻게 대응하고 있는지 소개됐다. 엄정용 LG CNS 보안사업담당은 “민감한 정보를 입력할 경우 별도의 AI 모델을 통해 보안관계자에게 이를 통보하도록 시스템을 구축해야 한다”며 “이를 챗GPT가 서비스해주지 않기 때문에 결국 기업이 별도로 보안에 신경을 써야 한다”고 했다.
신종회 엔씨소프트 정보보호최고책임자(CISO)는 “‘제로 트러스트’ 체계로 AI 서비스가 야기할 보안 문제를 막아야 한다”고 강조했다. 부여받은 아이디와 패스워드로 내부망에 접속하더라도 정해진 권한만 부여해야 한다는 것이다. 그는 “개인 PC나 모바일로는 데이터에 접근하지 못하게 하거나 중간 단계를 가진 보안 정보만 접근할 수 있도록 하고 있다”고 했다.
윤두식 지란지교시큐리티 대표는 “생성형 AI가 여러 경로를 통해 개인 신상까지 학습할 수 있어 무작위 해킹이 아닌 특정 개인에 맞춘 해킹이 쉬워진다”며 “생성형 AI를 활용한 공격에 대응하기 위해 검찰, 경찰, 과학기술정보통신부, 금융기관들이 새로운 연구에 돌입해야 하는 상황에 와있다”고 말했다.
한편 조지훈 삼성SDS 보안연구팀장(마스터)은 양자컴퓨팅 시대에 대비해 양자내성암호 전환을 서둘러야 한다고 했다. 그렇지 않으면 기존 암호 체계를 기반으로 한 IT 보안 체계가 흔들릴 수 있다는 것이다. 그는 “아무도 챗GPT의 등장을 예측하지 못했던 것처럼 양자컴퓨터가 예상보다 더 빠르게 등장할 수 있기 때문에 지금 당장 이 문제를 우려해야 한다”며 “양자컴퓨팅 시대에 제대로 대비하지 못하면 기존 암호 체계를 기반으로 한 IT 보안 체계가 흔들릴 수 있다”고 했다.
보이스피싱을 노린 중국 해커들이 전화를 걸면 여러분들은 최소한 ‘여보세요’라는 말이라도 하게 됩니다. 이를 녹음한 음성을 생성형 인공지능(AI)이 학습해 여러분의 완벽한 가족으로 위장할 수 있다면 큰 사회적 문제가 될 것입니다.
윤두식 지란지교시큐리티 대표가 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에 참석해 ‘사이버보안 관점에서의 생성형 AI: 발생 가능한 위협과 대응방안’을 주제로 한 강연에서 이같이 말했다.
윤 대표는 “우리나라에 일반인을 대상으로 한 보이스피싱이 굉장히 많은 가운데, 앞으로 생성형 AI를 활용한 공격에 대응하기 위해 검찰, 경찰, 과학기술정보통신부, 금융기관들이 새로운 연구에 돌입해야 하는 상황에 와있다”고 강조했다.
그러면서 “인터넷에 검색하면 생성형 AI 서비스가 넘치고 관련 툴만 2만5000개 이상”이라며 “생성형 AI를 통해 생산성 증대뿐 아니라 새로운 보안 위협도 큰 문제가 될 수 있다”고 했다.
특히 생성형 AI가 웹사이트에서만 데이터를 수집하는 것이 아니라 소셜미디어(SNS)나 여러 경로를 통해 개인 신상까지 학습할 수 있어 무작위 해킹이 아닌 특정 개인에 맞춘 해킹이 굉장히 쉬워진다는 게 윤 대표의 설명이다.
윤 대표는 “특정인의 목소리를 3초 정도만 학습해도 목소리와 톤, 말투를 복사해 그대로 재현이 가능하다”며 “이를 통해 최근 자금 이체 등을 주문하는 보이스피싱 공격이 보고되고 있다”고 밝혔다.
윤 대표는 또 생성형 AI를 통한 지능형지속공격(APT)이 활성화될 것으로 예상했다. APT는 지속적인 컴퓨터 해킹 프로세스들의 집합으로, 특정 실체를 목표로 하는 사람이나 사람들에 의해 지휘된다. 일반적으로 정부, 기업, 정치단체 등의 조직을 대상으로 공격한다.
윤 대표는 “생성형 AI를 통해 소셜 엔지니어링 공격이 가능한 사이버 에이전트가 많아질 것”이라면서 기업들이 사이버 위험을 예방할 수 있는 3가지 방법론도 소개했다.
그는 “최근 기업들이 AI 구축을 위해 LLM(거대 언어모델)을 도입하고 외부에서 데이터가 공급되는데, 보안 체크리스트에서 이러한 데이터와 시스템을 관리하는 공급자의 책임을 반드시 확인해야 한다”고 말했다.
이어 “해커가 생성형 AI를 통해 공격하기 전 우리 내부 시스템에 어떤 문제가 있는지 테스트와 시뮬레이션을 주기적으로 진행해야 한다”고 덧붙였다.
윤 대표는 “앞으로 AI가 없으면 기업 운영 자체가 어려워지는 만큼, 보안을 얼마나 철저히 갖추고 이익을 창출할 수 있는지에 대한 장기적 고민이 필요하다”고 말했다.
“챗GPT를 비롯한 인공지능(AI) 서비스가 정교해지면서, 이를 이용한 해킹 방식도 발전하고 있습니다. 하나의 계정에 최소한의 권한만 부여하는 ‘제로 트러스트(아무것도 신뢰할 수 없기 때문에 항상 검증한다는 기본 전제를 바탕으로 구현하는 보안 패러다임)’ 체계로 AI 서비스가 야기할 보안 문제를 막을 수 있을 것입니다.”
신종회 엔씨소프트 정보보호최고책임자(CISO)는 14일 서울 중구 웨스틴조선호텔에서 진행된 ‘2023 사이버보안콘퍼런스’에 참석해 ‘제로 트러스트를 활용한 인공지능(AI) 서비스의 보안 위협 대응 전략’을 주제로 한 강연에서 이같이 말했다. 신 CISO는 “기존에 IT 기업들이 사용했던 보안 솔루션은 방화벽을 통해 단순히 내·외부망을 분리하는 식으로 이뤄졌다”며 “아이디와 패스워드로 내부망에 접속하기만 하면 신뢰할 수 있는 대상으로 간주하는 식이다”라고 설명했다.
신 CISO는 기존 보안 모델이 한계를 가지고 있다고 설명했다. 그는 “최근 직원을 가장해 내부망에 접속해 중요 정보를 가로채는 사고 사례들이 접수됐다”며 “AI 기술로 해킹 툴이 점점 정교해지고 있기 때문이다”고 말했다. 이어 “이제 단순히 망을 구분하는 것으로는 보안을 완벽하게 할 수 없기에 더 촘촘한 대책이 필요하다”라고 했다.
신 CISO는 기존 보안 모델을 대체할 방안으로 ‘제로 트러스트’를 제안했다. 신 CISO는 “부여받은 아이디와 패스워드로 내부망에 접속하더라도 정해진 권한만 부여하는 동적 관리 체계가 ‘제로 트러스트’”라며 “현재 AI 서비스를 이용하는 기업들에게 주목받고 있는 보안 방식이다”라고 했다.
신 CISO는 엔씨소프트를 포함한 IT 기업들이 제로트러스트 체계를 사용하는 방식을 소개했다. 신 CISO는 “삼성전자 DS(반도체) 부문이나 SK하이닉스 등은 접속환경이나 챗GPT에 쓸 수 있는 글자 수를 제한하고 있다”고 말했다. 이어 “엔씨소프트도 내부망에서 이상 행위를 감지하기 위한 모니터링을 강화하고 있다”며 “법인 PC가 아닌 개인 PC로는 데이터에 접근하지 못하게 하거나 모바일로는 중간 단계를 가진 보안 정보만 접근하게끔 하고 있다”고 설명했다.
엔씨소프트는 현재 제로트러스트 방식을 기반으로 한 사용자 행위분석 체계를 정교화하고 있다. 신 CISO는 “제로트러스트 체계 하에서 AI가 내부망 사용자의 행위를 대량으로 학습·분석하게끔 하고 있다”며 “이를 통해 AI가 퇴직·휴직 예정자의 내부망 활동을 비롯한 이상 행위를 방지하고 보안 문제를 사전에 막고 있다”고 설명했다.
신 CISO는 제로트러스트 체계를 강화하는 식으로 보안 효율성을 높일 수 있다고 주장했다. 그는 “엔씨소프트는 사용자와 기기에 따라 접근할 수 있는 정보의 등급을 나누는 식으로 제로트러스트 체계를 업그레이드하고 있다”며 “이 같은 방식으로 특정 사용자가 정해진 정보만 이용할 수 있게 만든다면 촘촘한 보안 모니터링이 가능해질 것으로 보인다”라고 설명했다.
사이버 공간에서 국경선의 의미가 재정의되고 있습니다. 사이버 보안에 물리적인 방어선 개념을 적용하는 것만으로는 완벽하지 않습니다.
박규백 국방부 사이버작전사령관은 14일 서울 중구 웨스틴 조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에서 “총과 폭탄에 필적할 만큼 컴퓨터와 키보드가 국가 안보를 실전적으로 위협하고 있다”면서 이같이 말했다.
박 사령관은 “평소에도 위협 세력은 주체가 불분명한 사이버 공격을 실제로 가할 수 있다는 점에서 오히려 그 위험성은 더 클 수 있다”며 “국가 안보에 있어서 가장 위험한 것은 변화무쌍한 전장에서 익숙한 틀에 갇혀 가능성 있는 위협에 대응하지 못하는 것”이라고 했다.
그러면서 인공지능(AI), 양자 컴퓨터 등 첨단 기술은 사이버보안 측면에서 두 가지 시사점을 가지고 있다고 강조했다.
박 사령관은 “첨단 기술의 가능성과 취약점을 동시에 고려해야 한다”며 “방어자 입장에서는 보안 기술 향상 기회가 될 수 있지만, 위협 세력의 공격 기법 고도화는 도전 요인으로 작용한다”고 설명했다.
그는 이어 “지난 5월 있었던 나토 사령관 포럼의 주제도 인공지능 등 파괴력 신기술의 군사적 적용 방안이었는데, 핵심 이슈가 그 가능성과 취약성에 관한 것”이었다고 덧붙였다.
박 사령관은 더 이상 방화벽을 중심으로 한 차단 정책과 내부 시스템, 내부 감시 등 경계선 구축 기준의 사이버 보안만으로는 급격한 정보 환경의 변화를 따라갈 수 없다고 밝혔다.
그는 “전통적인 군사 작전에서 초수평선 작전이 필요하듯이 사이버보안도 익숙하지 않은 잠재적 위협을 선제적으로 탐지, 분석 및 예측해 적시에 대응하는 전방 방어 작전과 신기술이 요구된다”고 말했다.
그러면서 “신기술의 사이버 보안 측면에서의 취약성을 보완하기 위해서는 범국가적 글로벌 협력이 중요하다”고 강조했다.
박 사령관은 “사이버 공간에 민주적 가치를 공유하는 국가들과 협력해야 한다”며 “군에서는 미국, 나토 등과 다국적 교류 협력을 강화하고 있다”고 밝혔다.
박 사령관은 사이버 신기술의 규범화와 제도화의 필요성도 강조했다. 그는 “사이버 공간에서의 행위는 주체가 불분명하고 보이지 않는다”면서 “신기술이 책임 있게 개발되고 사용되지 않으면 법 차원은 물론 윤리적인 사회 문제가 대두될 것”이라고 했다.
그는 이어 “신기술이 예측력과 분석의 신뢰도를 높여줄 수는 있어도 최종 판단과 의사 결정의 몫은 사람”이라며 “파괴적 신기술로 만들어진 창과 방패는 법적 제도의 틀 속에서 목적에 맞게 올바르게 사용되어야 한다”고 덧붙였다.
매년 늘어나는 분석 로그 AI 활용해 탐지
“오탐 걸러주는 정확도 99.95% 이상”
인공지능(AI)을 활용한 보안 기술이 해킹 공격을 탐지·대응하는 보안관제의 효율성을 극대화하고 있다는 평가가 나왔다. AI를 활용해 급증하는 해킹 위협과 사이버 공격을 적극적이고 효과적으로 방어할 수 있다는 것이다.
김종현 SK쉴더스 시큐디움 센터장은 14일 서울 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에서 ‘AI 기반의 보안관제 한계 극복’을 주제로 발표했다. 김 센터장은 “해킹 등 외부 위협을 모니터링하는 보안관제는 외부의 적이 내부에 침투하는지를 24시간 365일 대응하는 체계를 갖추는 것”이라고 했다.
김 센터장은 “보안관제는 수집, 탐지, 분석, 대응, 보고 등으로 구성된다”라며 “위협 가능성을 수집해 탐지하고, 공격 여부를 분석해 방화벽 등으로 격리하는 방법으로 대응한다”라고 했다.
외부로부터의 해킹 공격을 보안관제해도 한계는 있다는 게 김 센터장의 평가다. 그는 “매일 2억5000만건의 로그가 발생해 4600건 정도를 위협 트래픽으로 분류하지만 보안관제사가 직접 위협을 분석해 대응하는 건 60여건에 불과하다”라며 “분석 대상 로그는 매년 15~20% 이상 늘고 있으며, 보안관제사의 개인별 역량에 따라 해킹인지 정상 통신인지에 대한 판단이 달라지는 한계가 있다”라고 했다.
사이버 공격의 진화도 보안관제가 극복해야할 과제다. 김 센터장은 “보안관제는 공격에 맞춰 대응책을 개발해 적용하는 만큼 사이버 공격의 진화에 효과적으로 대응하기가 힘들다”라며 “AI를 활용한 보안 기술은 정상적이지 않은 트래픽을 효과적으로 모니터링하는 탐지 영역에서 적극 활용되고 있다”라고 했다.
김 센터장은 “AI는 정탐과 오탐에 대한 인력 기반 분석의 문제를 해결하는 데 활용되고 있으며, 오탐을 걸러주는 데 99.95% 정확도를 보여주고 있다”라며 “진짜 공격을 확인하는데 80%를 보여주는 한계를 보이지만, 오탐에서 탁월한 역량을 보이면서 적극 활용되는 추세다”라고 했다.
이어 “정∙오탐 판단 트래픽에 대한 67%를 AI 기술로 판단한 결과 야간 교대 근무 인력 6명 감소 효과로 나타났다”라며 “인력 의존도를 최소화할 수 있고, 높은 탐지 품질을 확보할 수 있는 적용 성과를 확인했다”라고 했다.
김 센터장은 “AI를 보안관제에 활용하면서 위협 판단이 AI 자동화로 전환됐고, 기존 인력 업무는 신규 위협에 대한 연구 및 대비 등으로 바뀌고 있다”라며 “다만 확률로 알려주는 AI의 특성과 판단에 대한 근거를 명확히 밝히지 못하는 AI 한계는 AI 보안관제 운용의 고민이다”라고 했다. 그러면서 “AI를 넘어서는 ‘설명 가능한 인공지능(XAI)’이 대안이 될 수 있다고 본다”라고 덧붙였다.
“오늘날 사회가 직면한 사이버보안 문제는 화이트해커(보안 취약점을 찾아내 해커로부터 공격받지 않게 도와주는 보안 전문가)와 동일한 능력을 갖춘 기계를 개발하고 이를 무한대로 생산할 수 있다면 해결될 수 있을 것이다. 사람이 직접 육성하기 까다로운 화이트해커를 자동화된 시스템이 대신하는 미래가 도래할 수 있다는 것이다.”
얀 쇼시타이시빌리 미국 애리조나주립대 교수는 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스′에 참석해 ‘보안 취약성 평가 자동화의 과거, 현재, 그리고 미래’를 주제로 한 기조연설에서 이같이 말했다. 쇼시타이시빌리 교수는 미국 사이버안보인프라보호청(CISA) 기술 자문위원으로 활동 중인 사이버보안 전문가다. 그는 세계에서 가장 오래된 화이트해커 그룹인 ‘셸피쉬(Shellphish)’를 이끌었고, 세계 최고 권위의 해킹 방어대회 데프콘(DEFCON CTF)도 주최한 바 있다.
쇼시타이시빌리 교수가 연구하는 주요 분야는 보안 취약점을 찾아내고 수정하기 위한 소프트웨어를 분석하는 것이다. 그는 7년 전 미국 국방고등연구계획국(DARPA)의 사이버 그랜드 챌린지(CGC) 기간 동안 자동으로 이 같은 작업을 하는 ‘사이버 추론 시스템’을 세계 최초로 개발했다.
쇼시타이시빌리 교수는 사이버보안 취약점 분석 자동화의 역사를 설명하며 “2015년 유명 화이트해커인 보안 전문가 미칼 잘레스키가 퍼징이라는 개념을 고안했는데, 이때 인공지능(AI)이 일부 활용됐다”라며 “데이터 중심의 소프트웨어 분석 기법은 오늘날 생성형 인공지능(AI)과 유사한 생성형 알고리즘으로 이어지는 촉매제가 됐다”라고 했다. 퍼징이란 소프트웨어에 입력값을 무작위로 대입하고 발생하는 에러나 충돌을 모니터링하는 소프트웨어 취약점 분석 방식이다.
그는 이어 “미국 국방고등연구계획국(DARPA)에서 2016년 개최한 사이버 그랜드 챌린지(CGC) 대회는 보안 취약점 자동화 기술이 더 발전하는 계기가 됐다”라고 했다. CGC는 전 세계 사이버보안 전문가들이 모여 자동으로 해킹과 공격 방어를 할 수 있는 자동화된 프로그램을 개발, 컴퓨터가 마치 인간 해커처럼 해킹대회를 치르는 행사다.
쇼시타이시빌리 교수가 이끄는 화이트해커 그룹 셸피시는 당시 ‘메커니컬 피시(Mechanical Phish)’라는 자동화된 보안 취약점 분석 시스템을 만들어 대회에서 3등을 차지했다. 그는 “메커니컬 피시를 포함한 다양한 출품작은 자동화된 컴퓨터 시스템이 해킹시 즉각적으로 구동될 수 있음을 대회에서 입증했다”라며 “대회가 개최된 2016년을 계기로 자동화된 기술이 발전하면서, 공개적으로 알려진 컴퓨터 보안 결함 목록(CVE)이 급증했다는 점도 고무적이다”라고 했다.
다만 그는 “현존하는 소프트웨어 수와 유사한 규모로 보안 결함도 발견돼야 하지만 아직 이러한 수준까지 사이버보안 기술이 도달하지 못했다는 점에서, 보안 기술은 더 발전해야 한다”라며 기술적 한계가 존재한다고 지적했다. 그는 “소프트웨어가 다른 소프트웨어를 분석하도록 설계하기는 매우 어려운 일이다. CGC에서 개발한 프로그램도 실제 온라인에서 작동하는 일반적인 소프트웨어와 비교했을 때 기초적인 수준에 머물렀다”라며 더 많은 연구가 필요하다고 했다. 그는 “실용적이고 수준 높은 사이버보안 교육이 늘고 있으며, CGC에 참여했던 다수 연구팀과 기업이 다양한 보안 솔루션을 내놓고 있어 미래는 희망적이다”라고 덧붙였다.
쇼시타이시빌리 교수는 현재 기술의 한계를 극복할 수 있는 열쇠를 챗GPT 등 새로운 AI 기술이 쥐고 있다고 강조했다. 그는 “AI가 프로그래밍 언어(코드)를 살펴보는 속도가 사람보다 더 빠르고, 현재 AI는 잠재적인 문제 역시 식별할 수 있다”라고 했다.
이날 쇼시타이시빌리 교수는 행사장에서 챗GPT를 활용한 해킹을 직접 시연했다. 쇼시타이시빌리 교수는 챗GPT를 활용해 특정 소프트웨어의 취약점을 발견하고, 다시 챗GPT에 이 취약점을 활용한 공격을 지시했다. 해킹 공격을 지시하자 챗GPT는 처음엔 “공격을 할 수 없다”라고 대답했으나, 프롬프트(명령어)를 일부 조정하자 바로 해킹 공격이 가능한 코드를 제공했다. 이와 관련해 직후 기조연설에서 이원태 한국인터넷진흥원(KISA) 원장은 “AI가 직접 보안 취약점을 찾아내는 모습을 보니 놀랍다”라고 했다.
쇼시타이시빌리 교수는 “챗GPT를 활용해 보안 취약점을 찾아내고, 다시 챗GPT에게 보안 취약점을 공격할 수 있는 방식을 얻는 것도 가능하다. 이러한 기술 발전은 사이버보안 분야에서 대대적인 변화를 가져올 것이다. 대학교 4학년도 챗GPT를 활용해 해킹 공격과 방어를 할 수 있는 시대가 열린 것이다”라고 했다.