[데이터넷] 생성형AI가 IT 전 분야에서 최대 관심사로 떠오르고 있는 가운데, AI를 이용한 지능적인 공격이 폭발적으로 증가할 것이라는 경고가 나오고 있다. ‘제 22회 차세대 보안 비전 2023’ 참가자를 대상으로 한 설 문조사에서 응답자의 절반 가까운 47.4%가 ‘AI를 사용해 더 지능적이고 집요한 공격이 폭발적으로 증가할 것으로 보인다’고 답해 AI 이용 공격의 위험성에 대해 많은 이들이 공감하고 있는 것으로 나타났다.

실제로 챗GPT를 이용해 스피어피싱을 제작하고, 브랜드를 도용하며, 지적재산권을 탈취하는 시도가 등장하고 있다. 지하시장에서는 이와 관련한 정보가 활발하게 공유되고 있다. 공격자들은 AI를 이용해 타깃 조직의 업무 특성과 사용하는 공문 양식, 목표 사용자의 관심사 등을 파악하고 맞춤형 악성메일과 악성문서를 만들어 유포하고 있다.

공격자가 직접 제작하지 않고 AI가 수행하기 때문에 짧은 시간 동안 많은 피해자를 대상으로 맞춤형 공격을 할 수 있다. 기존의 위협 탐지와 대응 시스템에 감지되지 않도록 우회 기술을 적용하며, 개인 맞춤형으로 진행되기 때문에 공격 패 턴을 파악하고 대응 규칙을 만들지 못하게 한다.

AI를 이용하는 공격자의 TTP가 짧은 기간 동안만 유효하 기 때문에 공격그룹을 식별하고 대응하는 기존의 대응 방식으로는 방어가 사실상 어렵다. 이 같은 적대적 AI에 대응하는 방법으로 더 고도화된 AI를 사용하는 것이 제안된다.

이번 설문 응답자의 34.2%는 ‘AI가 진화하는 공격 대응과 IT/보안 효율화에 도움을 줄 것이라고 기대한다’고 답했다. AI가 실시간으로 공격 패턴을 파악하고 자동으로 대응하며, 새로운 위협도 빠르게 식별해 대응책을 마련할 수 있다는 설명이다.

AI가 가져올 위협에 대해 너무 두려워할 필요가 없다는 주장도 있다. 8.5%의 응답자는 ‘우리나라 실정에 맞는 AI 보안 기술이 등장하려면 시간이 더 필요하다’, 5.6%는 ‘현재 이야기하는 AI는 과장된 면이 있다. 과도한 공포마케팅에 휩쓸릴 필요는 없다’고 답해 AI에 공포심을 갖기에 아직 이르다는 견해를 밝히기도 했다.

개인정보 활용과 보호 상반된 입장 가져

현재 기업·기관이 직면한 가장 위험한 사이버 위협으로 가장 많은 응답자가 개인정보와 중요정보 유출(28.9%)을 꼽으면서 정보유출의 위험성을 높게 인식했다. 그런데 하반기 시행 예정인 개인정보보호법에 대해서는 여러 의견을 보이고 있어 주목된다.

응답자의 37%는 이번 개정안에 대해 ‘보안·개인정보 보호 조직에 대한 지원 없이 규제만 강화돼 담당자 입장에서 부담이 크다’고 답했으며, 14%는 ‘과징금 부과 기준이 낮아 개인정보 보호 실효성을 기대하기 어렵다고 본다’고 밝혀 51%의 응답자가 이 개정안에 부정적인 견해를 밝혔다.

긍정적인 입장을 비친 응답자는 ‘개인정보 전송 요구권을 포함하고 있어 전 산업 마이데이터 활성화를 촉진할 것으 로 기대된다(23.9%)’, ‘사고 시 최대 3% 과징금 부과로, 기업·기관의 개인정보 보호 의무가 강화된 것으로 평가된다 (23.5%)’로 47.4%의 응답자가 긍정적인 입장을 보였다.

이번 개인정보보호법 개정안에 대한 가장 높은 기대는 ‘마이데이터 활성화’에 있다. 전송요구권에 담긴 전송대상 정보와 전송 의무자 범위, 침해사고 책임 소재 등을 시행령에서 구체화하고 있다. 이에 시민단체는 개인정보 주체의 권리가 충분히 보장되지 못한다고 비판하고, 사업자들은 더 자유롭게 개인정보를 활 용할 수 있도록 해야 한다고 지적한다. 개인정보보호위원회는 업계 다양한 의견을 수렴해 4~5월 중 시행령과 고시를 개한다고 밝혔다.

‘제로 트러스트’ 관심 높아

기업·기관이 우려하는 가장 위험한 공격은 개인정보·중요정보 유출에 이어 클라우드 보안사고(23.4%), 랜섬웨어 (22.1%), 관리되지 않은 취약점과 공격표면(14.9%), 디도스 등 서비스 중단 혹은 파괴를 시도하는 공격(7.2%)의 순이었다.

이러한 공격에 대비하는 방법의 하나로 ‘제로 트러스트 보안 도입(29.8%)’을 꼽은 응답자가 ‘새로운 위협 대응을 위한 보안 솔루션과 서비스 도입(35.7%)’에 이어 두 번째를 차지한 것이 주목된다.

제로 트러스트는 오래전부터 제안되어온 보안에 대한 원칙이지만, 실제로 주목받기 시작한 것은 코로나19 시기부터다. 재택·원격근무를 위해 VPN을 대체할 수 있는 제로 트러스트 네트워크 액세스(ZTNA)에 많은 관심이 쏠렸지만, 이제는 사용자 인증과 인가, 지속적인 모니터링, 자산 파악과 취약점 관리 등 다양한 분야로 관심이 모이고 있다.

제로 트러스트에 대한 관심과 향후 도입 계획을 묻는 질문 에는 43% 정도의 응답자가 제로 트러스트에 대해 충분히 이해하지 못하거나 관심이 없는 것으로 나타났다. 35.5%의 응답자는 ‘제로 트러스트에 관심은 있지만 무엇을 어떻게 해야 할지 모른다’고 답했으며, 6%는 ‘제로 트러스트가 무엇인지 모른다’고 답했다. 2.1%의 기타 의견으로는 ‘알고 있지만 계획은 없음’, ‘아직 도입하기에 이른 감이 있다’ 등의 답이 있었다.

긍정적인 부분은 제로 트러스트에 관심있는 응답자들이 구체적인 제로 트러스트 이행을 시작했다는 점이다. 32.9%는 ‘제로 트러스트에 관심이 있으며, 구체적인 이행 방안을 찾아보고 있다’고 답했고, 18.4%는 ‘회사에 맞는 제로 트러스트 전략을 수립하고 있으며, 일부 정책은 단계별로 이행 중’이라고 답했다. 5.1%는 ‘제로 트러스트를 위한 솔루션을 구입하고 있다’고 밝혔다.

제로 트러스트를 위해 필요한 솔루션과 서비스는 29.4%가 사용자와 기기 인증·인가, 27.2%가 지속적인 모니터링과 탐 지를 꼽았다. 제로 트러스트 개념 중 비교적 최근 등장한 공격 표면 관리와 취약점 관리가 12.8%로, 안전한 원격접속 솔루션(13.6%) 다음을 차지했다.

공격표면 관리는 열려 있는 포트, 취약한 비밀번호, 노출된 계정, 패치 안된 취약점 등 공격자가 침투할 수 있는 접점을 찾아 제거하는 기술로, 제로 트러스트 이행에 앞서 반드시 수 행해야 하는 자산관리, 취약점 관리 등과 함께 선제방어 전략으로 주목되고 있다.

“피싱 방어, 임직원 교육 가장 중요”

공격자들이 가장 많이 사용하는 이메일과 소프트웨어 공급 망에 대한 우려도 높아지고 있다. 이에 대응하기 위한 현실적 인 방법을 묻는 질문에 이메일 보안 분야에서는 38.3%의 응답자가 임직원 교육과 훈련을 들었다. 악성메일은 업무와 밀 접한 연관이 있는 내용으로 유입되기 때문에 기존 보안 솔루션으로 차단하기가 매우 어려우며, 임직원의 주의가 반드시 필요하다는 이유다.

이어 29.8%는 EDR, XDR 등 위협 탐지와 대응 솔루션 사 용, 16.2%는 이메일 첨부파일과 링크를 분석하는 솔루션, 12.8%는 인증된 발신자의 메일만 수신하는 발신자 확인 기술을 들었다.

소프트웨어 공급망 보호 방법에 대해서는 다양한 의견이 고르게 분포됐다. 가장 많은 비중을 차지한 답이 SCA, SBOM 등 오픈소스 구성 분석과 취약점 관리(27.9%)였으며, 이어 소프트웨어 개발자 보안 교육이 21.5%, 소프트웨어 취약점 관리 솔루션 도입이 12.4%를 차지했다.

최근 깃허브 등 코드 저장소의 계정탈취로 개발 중인 코드를 도난당하는 사고가 이어지면서 코드 저장소 계정보호와 접근 관리를 꼽는 사람이 12%를 차지했다. 이어 소프트웨어 공급사, 외주 개발사의 소프트웨어 보안 점검(8.6%), 업데이트 파 일 등의 코드서명 인증서 관리 강화(6.9%) 등의 답을 받았다.

CSAP 등급제, 긍정적인 견해 다소 앞서

클라우드 보안인증(CSAP) 등급제에 대해서는 긍정적인 견해가 부정적인 견해보다 다소 앞서는 것으로 보인다. 46.2%의 응답자가 ‘다양한 클라우드 사용으로 공공·금융 서비스를 개선할 수 있을 것으로 기대한다’고 밝혔다.

부정적인 견해는 ‘글로벌 사업자의 서비스 투명성과 안정성을 검증할 방법을 먼저 마련해야 한다(27.4%)’, ‘국내 클라우드 사업자 경쟁력을 약하게 해 해외 서비스가 국내 시장 을 장악할 것이다(12.8%)’ 등 40.2%의 응답자가 부정적으로 답했다.

‘보안 수준이 낮은 등급에서 우선 시행되기 때문에 시장의 영향은 크지 않을 것으로 본다’는 의견도 13.2%로 나와 CSAP의 실제 영향에 대한 의문도 제기됐다.

한편 클라우드 보안사고를 막기 위해 가장 필요한 기술로 ▲클라우드 계정 보호 및 접근 통제 기술(24.4%) ▲잘못된 설정, 사용자 실수를 막는 클라우드 보안 형상관리(23.5%) ▲클라우드 워크로드 침해 차단 기술(23.1%)이 꼽혔다.