[데이터넷] AI 중심 시대가 도래했다. 그러면서 AI 부작용도 심화됐다. AI의 편향성과 불투명성 문제를 근본적으로 해결할 수 있는 뚜렷한 방법이 없으며, 범죄자가 AI를 사용해 더 지능적으로 공격을 진행하고 있다. 이에 윤리적이고 신뢰할 수 있는 AI에 대한 요구가 높아지고 있으며, AI 이용 공격을 막는 AI 기술에 대한 수요도 크게 늘고 있다. AI 보안 문제와 대응 방법을 알아본다.<편집자>

AI 보안 지나친 의존으로 리스크 높아져

AI를 이용한 보안 기술이 큰 성장을 이룰 것으로 기대하고 있지만, 이 기술이 모든 보안 문제를 해결할 수 있는 것은 아니다. AI 이용 보안 기술 역시 AI가 가진 문제를 모두 갖고 있다. 가장 큰 문제는 AI에 지나치게 의존한다는 것이다. 카스퍼스키는 ‘AI를 통한 고통 거리두기 증후군’에 대해 경고한 바 있다.

범죄자는 피해자가 고통 당하는 것을 보면서 죄책감을 느끼는데, 사이버 공격은 피해자와 대면하지 않기 때문에 죄책감을 덜 느낀다. AI를 이용하면 공격 주체가 AI이기 때문에 범죄자는 거의 죄책감을 느끼지 않는다.

보안 조직은 AI에게 보안 탐지와 대응에 의지하면서, 오·미탐으로 인해 문제가 발생했을 때 이를 AI 탓으로 돌리는 경향이 있다. 또 AI를 통해 자동화된 보안 도구를 과신해 운영자가 위협에 덜 민감하게 반응해 사고 예방 기회를 놓칠 수 있다.

AI로 인한 규제준수 위반 우려도 있다. 개인정보와 민감정보 유출 문제에서 자유롭지 못하다. 예를 들어 다크웹에서 판매중인 개인정보를 검색해 실제 고객이나 조직에 영향을 미칠 수 있는 것을 찾는 AI 기반 서비스를 사용했을 때, AI가 수집한 데이터에 해당 기업의 고객 정보가 아니거나 경쟁사의 기밀정보를 포함하고 있을 수 있다.

AI 기반 보안 모델을 설계하면서 허가되지 않은 기밀·개인정보를 사용하게 될 가능성을 배제할 수 없으며, AI에게 학습시키지는 않았지만 학습 과정에서 다른 정보와 결합해 분석하는 과정에서 기밀정보를 유추해 권한없는 사용자에게 노출시킬 가능성도 분명히 존재한다.

AI 보안 성숙도 고려해 통합해야

AI 보안에 대한 과대광고로 인한 문제도 있다. 2015년 비지도학습 기반 완전 자동화된 보안 솔루션이 크게 인기를 끌었다. 당시 보안 솔루션 기준으로는 매우 높은 예산이 투입되어야 하는 솔루션이었는데, 보안 분석가가 인지하지 못하는 위협까지 정확하게 식별하고 자동 대응할 수 있다는 솔루션 벤더의 주장을 믿고 많은 기업·기관이 경쟁적으로 도입했다.

그런데 AI의 고질적인 문제인 ‘과도한 노이즈’로 인해 높은 비용을 들인 만큼의 효과를 거두기 어려웠다. 발생한 이벤트를 분석하기 위해 전문성이 높은 분석가가 필요한데, 고급 분석가를 채용하는 것은 고가의 솔루션 도입 예산을 확보하는 것보다 어려운 일이다. 그래서 한동안 AI 기반 보안 솔루션 시장이 상당히 위축되는 모습을 보이기도 했다.

생성형 AI 붐으로 시작된 AI 기반 보안 시장도 비슷한 시행착오를 거칠 것이라는 전망이 나온다. 특히 기술 공급업체들이 AI 보안으로 모든 위협을 식별하고, 자동으로 탐지할 수 있으며, 보안 전문의 몫을 충분히 할 수 있다고 주장하고 있어 경계해야 한다. 가트너는 이렇게 과대광고하는 공급업체들은 비현실적인 ‘혁신’을 자신하고 있으며 이 때문에 멀티모달 모델, 복합 AI 등 다음 단계의 생성형 AI로 진화하는 것을 방해하고 있다고 지적했다.

AI 보안을 적용하는데 있어 가장 현실적인 어려움은 ‘통합’이다. AI 기반 보안이 성공하기 위해서는 AI가 분석할 수 있는 양질의 데이터가 대량으로 수집되어야 하며, 현재 운영중인 보안 솔루션에서 필요한 데이터를 생성해야 한다. 보안 솔루션마다 다른 데이터 포맷과 분량, 각각 다른 수준의 보안 이벤트를 정제해야 한다.

오래된 보안 솔루션이나 직접 개발한 솔루션, 특정 목적을 위해 도입된 솔루션, 외부 파트너들이 사용하는 솔루션은 AI 기반보안 솔루션이 필요로 하는 데이터 포맷이나 분량, 기준을 제대로 충족하지 못해 보안 데이터 통합이 어려워진다.

AI 기반 보안에 통합되지 못한 영역은 사각지대로 남으며, AI 보안 솔루션의 도입 효과가 낮아질 수밖에 없다. 파편화된 보안 워크플로우로 인해 AI 보안의 정확도가 떨어지며, AI 보안 경보 피로가 높아진다.

투자대비 효과 정확한 예측 필수

AI는 기본적으로 리소스 집약적인 작업이다. AI를 위해 필요한 컴퓨팅 리소스 비용이 매우 높은 편인데, 가트너는 이로 인한 지출이 2025년까지 15% 이상 증가할 것이라고 전망했다. 90%의 기업이 생성형 AI를 보안에 접목할 방법을 연구하고 있지만, 기술 통제나 정책을 마련하지 못한 상태에서 막대한 비용을 투자하고 있는 상황이다.

AI 증강 인력 투자로 AI 효과 높여

AI로 인한 부작용을 낮추면서 효과적으로 사용하기 위해 가트너는 ‘AI 신뢰, 위험 및 보안 관리(AI TRiSM) 기술이 필요하다고 설명한다. AI TRiSM은 모델옵스(ModelOps), 사전 예방적 데이터 보호, AI 전용 보안, 데이터 및 모델 드리프트와 의도되지 않은 결과를 포함한 모델이다. 가트너는 AI TRiSM을 활용하면 오류와 불법 정보를 80%까지 줄이고 의사 결정의 정확성을 높이게 될 것이라고 예측했다.

AI 기반 보안이 가진 한계를 해결하면서 효과적으로 보안 수준을 높이기 위해서는 AI가 필요한 업무에 적절하게 사용하는 것이다. 어떤 업무에 AI가 필요한지, 투입되는 비용과 시간, 인력 대비 거둘 수 있는 효과, 단기·중기·장기 ROI를 계산해 봐야 한다. 이 때 AI의 현재 기술 수준과 향후 수준, 그리고 공격자의 AI 활용 수준 등을 고려해 예측해야 할 필요가 있다.

현재 유행하는 AI 보안 솔루션을 급히 도입하는 것 보다, 기능과 제품의 성숙도, 업계 모범사례를 감안해 도입 계획을 수립하며, 작은 규모로 도입해 활용하면서 성숙도와 완성도가 확인되면 단계적으로 도입, 통합한 게획을 세우는 것이 좋다.

AI는 잘 활용하면 초급 인력 혹은 중급까지 인력을 대체할 수 있을 것으로 기대된다. 그러면 자연스럽게 높은 수준의 전문성을 가진 고급 인력 수요가 높아질 것이다. 그런데 보안 인력이 하루아침에 고급인력의 자질을 갖출 수 없으며, 현장에서 경험을 하면서 초급, 중급의 실력을 거치면서 전문성을 쌓아야 한다.

초·중급 인력이 AI에게 기회를 빼앗기면 고급 전문가로 성장할 수 있는 기회도 얻을 수 없다. 그래서 가트너는 AI와 함께 일하면서 빠르게 고급 스킬을 배울 수 있는 ‘AI 증강 인력(AI augmentation of the workforce)’ 프로그램 선택을 권고했다.

보안 인력이 AI 보안 비서를 사용하면서 보안 전문가의 탐지·분석 스킬을 경험하고 익힐 수 있는 기회를 가질 수 있다. AI를 개인 교사처럼 사용하면서 전문성을 높일 수 있을 뿐만 아니라 직원이 적성을 찾아 적절한 업무를 담당할 수 있도록 도울 수도 있다.