클라우드·IoT·AI 등 4차 산업혁명을 이끌 ICT 기술의 실생활 적용 속도가 빨라지면서 새로운 보안위협의 등장도 예고되고 있다. 그러나 기업/기관의 대비는 매우 미흡하다. 본지가 매년 정보보안 담당자를 대상으로 실시한 설문조사 결과 높아지는 보안 위협과 제자리 걸음인 보안 수준이 가장 큰 문제로 지적됐다.<편집자>
“2020년, 사용자 욕구 충족시킬 AI 등장할 것”
올해 뜨거운 감자로 떠오른 AI에 대해 보안 담당자들은 대체로 긍정적으로 보고 있는 것으로 나타났다. ‘AI를 이용하는 IT 시스템이 있나’라는 질문에 20.3%가 ‘AI를 활용하는 IT 시스템을 사용하고 있다’고 답했으며, 10.2%는 ‘AI 활용 IT 시스템 도입을 검토하고 있다’고 답해 30% 이상이 AI 활용 시스템을 도입했거나 도입할 예정인 것으로 나타났다.
그러나 AI가 무조건적인 호응을 얻고 있다고 단정할 수는 없다. 가장 많은 응답자(32.2%)가 ‘향후 괜찮은 제품이 있으면 도입 검토할 계획’이라고 답했으며, 20.3%는 ‘AI 활용 기술을 사용하기에 적합한 업무가 없다’고 답했고, 16.9%는 ‘AI 기술의 완성도가 낮아 아직은 효과가 없다고 생각한다’고 답했다.
AI에 대한 상반된 견해는 전문기업의 보고서에서도 나타난다. 포스포인트는 AI의 기술적 완성도가 아직 낮은 수준이라고 분석하며 “아직 AI는 겨울”이라고 표현했다. 그러나 포스포인트는 2019년 AI 기술이 발달해 2020년에는 사용자의 욕구를 충족시킬만한 AI 솔루션이 등장할 것이라고 예상했다.
“AI 효과, 대체로 만족”
AI를 활용하는 서비스는 챗봇, 헬프데스크, 고객 서비스 등이 가장 많았으며, 제조업계에서는 장애 예측과 설비진단, 구축공정 관리 등에 사용했다. 비즈니스 의사결정을 위한 데이터 분석과 신상품 개발, 시장조사, 마케팅 등에도 사용됐고, 검색과 메신저 등의 서비스에도 활용되고 있다.
AI 시스템 도입으로 인한 효과를 묻는 질문에 대체적으로 만족한다는 응답이 대다수를 차지했다. 25%의 응답자가 ‘도입 시 계획했던 만큼의 효과를 얻고 있다’고 답했고, 27.5%는 ‘도입 시 계획했던 것만큼의 효과는 없지만, 만족할만한 효과를 얻고 있다고 생각한다’고 답했다.
‘도입 시 계획했던 것과 달리 크게 만족할만한 효과는 아니다’는 응답은 22.5%, ‘도입 초기라서 효과를 판단하기 이르다’는 답은 20%를 차지했다.
 |
|||||
|
|||||
“AI 기반 보안 시스템, 완전히 성숙되지 않아”
보안 업계에서는 AI를 활용해 진화하는 공격에 대응해야 한다고 강조하고 있지만, 보안 현장에서는 이를 체감하지 못하는 것으로 보인다. 이어진 질문 ‘보안을 위해 AI 활용 시스템을 사용하고 있나’에 절반에 가까운 47.9%가 ‘AI 기반 보안 시스템의 효과가 낮다고 판단하고 도입을 검토하고 있지 않다’고 답했다. 두 번째로 많은 응답을 보인 항목인 ‘적절한 시스템을 검토 중이다’는 30.2%로 아직 AI 기반 보안 시스템에 대한 인식이 확산되지 않은 것으로 분석된다. 현재 AI 기반 보안 솔루션을 사용하고 있다는 응답은 10.4%, 2020년 이후 도입을 목표로 한다는 응답이 11.%를 차지했다.
AI 기반 보안 시스템을 사용하고 있다는 응답자를 대상으로 어떤 업무에 시스템을 사용하고 있는지 조사한 결과, 절반에 이르는 48%가 보안관제에 적용했다고 답했으며, 32.5%는 내부 이상행위 모니터링에 사용하고 있다고 답했다. 악성코드 탐지에 사용하고 있다는 답은 19.3%로, 보안 조직에서는 위협 탐지와 모니터링 업무에 AI를 사용하고 있는 것으로 나타났다.
AI 기반 보안 시스템에 대해서는 대부분 평가를 보류하고 있는 것이 사실이다. 보안 전문가들도 AI 기반 보안 시스템의 성숙도가 높다고 할 수 없으며, 실제 보안 효과를 입증하기 까지 다소 시간이 걸릴 것으로 예상하고 있다. 그래서 보안업계에서는 올해 AI 기반 보안 시스템이 여러 분야에서 학습하면서 성공모델을 만들어 내년에는 본격적인 성장이 일어날 것으로 기대한다.
이 같은 전망은 AI 보안 시스템을 운영해본 경험에서도 드러난다. AI 보안 시스템을 운영하고 있는 담당자를 대상으로 한 ‘시스템 도입 효과’를 묻는 질문에 47.1%가 ‘도입 초기라서 판단하기에 이르다’고 답했다. 그 외 응답은 대체로 비슷한 수준을 나타냈는데, 17.6%의 응답자가 ‘도입 시 계획했던 것만큼의 효과는 없지만, 만족할만한 효과를 얻고 있다고 생각한다’고 답했고, ‘도입 시 계획했던 만큼의 효과를 얻고 있다’는 답과 ‘도입 시 계획했던 것과 달리 크게 만족할만한 효과는 아니다’는 답이 각각 14.7%의 답을 보였다.
AI, 많은 오탐으로 사용 어려워
AI 보안 시스템이 아직 성숙단계가 아니라고 분석하는 이유는 탐지 정확도가 떨어지기 때문이다. 보안 위협은 정규화하거나 패턴화 할 수 없으며, 사회공학적 기법을 이용하고 정상 프로세스로 위장하기 때문에 보안 분석 전문가도 위협인지 아닌지 판단하기 어려울 때가 많다.
AI 시스템은 양질의 대량 데이터를 학습해 정확한 결과를 도출해내야 하는데, 보안 데이터는 데이터 자체의 포맷이 제각각 다를 뿐 아니라 정치·사회적 요인, 업무의 특성 등 많은 변수를 고려해야 하기 때문에 양질의 데이터를 수집하기가 어렵다. 또한 개인정보보호법, 기밀정보 보호 등의 이유로 보안 데이터를 대량으로 수집하는 것도 쉽지 않다.
실제로 AI 기반 보안 시스템을 운영해 본 보안 담당자의 38%는 ‘AI 시스템이 탐지한 보안 이벤트를 분석해야 해 관리 업무가 증가했다’고 답했으며, 32%는 ‘시스템의 오탐이 많고 정확도가 떨어진다’고 답했다. ‘보안 관리 인력의 전문지식이 필요해 교육·훈련에 어려움이 있었다’는 답과 ‘비용이 많이 든다’는 답이 각각 10%를 차지했으며, 보안 담당자의 업무가 늘어나 이를 지원하는 분석 시스템을 구입하는 등 비용이 많이 투입됐다는 답도 있었다.
AI 기반 시스템의 개선 방향에 대한 의견을 묻는 질문에 가장 많은 응답자가 오탐의 문제를 지적했다. 너무 많은 오탐으로 인해 보안 조직의 업무가 오히려 더 늘었으며, 탐지된 이벤트가 어떤 의미를 갖는지 알 수 없어 제대로 대응하기 어렵다는 문제도 지적됐다. 또한 산업군별 양질의 위협 데이터를 통해 AI 시스템의 탐지 정확도를 높일 수 있도록 해야 한다는 의견도 다수 있었다.
AI 기반 보안 시스템을 도입하려는 기업/기관에 대한 조언으로 ‘너무 높은 기대를 갖지 말아야 한다’는 의견이 있었으며, 적용 가능한 시스템을 파악하고 관련한 전문인력을 채용하거나 현재 담당자 교육을 통해 시스템을 운영할 수 있는 토대를 마련해야 한다고 조언했다.
