"생성형 AI 해킹 능력은 중급 해커 수준으로 높아"

“인공지능(AI)을 해킹에 활용하는 시대입니다. 당연히 방어를 위해서도 AI가 필수적입니다.”

장용민 삼성SDS 보안사업담당(상무·사진)은 9일 “역사적으로 기술을 악용하는 해커들이 먼저 나타나고, 여기에 대응하는 보안 기술이 뒤따르는 일이 반복돼 왔다”며 이같이 말했다.

장 담당은 2001년부터 24년 동안 액센추어와 IBM에서 사이버 보안 컨설팅 업무를 해왔다. 지난해 삼성SDS에 합류해 보안 컨설팅·솔루션, 보안 관제 등 사이버 보안 사업을 책임지고 있다.

그는 “AI가 아직 최고 수준의 해커를 따라잡지는 못하지만, 중급 수준까지는 AI로 쉽게 접근할 수 있게 됐다”며 “해커가 만든 생성형 AI를 쓰면 아무런 지식이 없어도 악성코드를 쉽게 얻을 수 있다”고 설명했다.

서비스형 소프트웨어(SaaS)처럼 구독료를 내고 랜섬웨어를 쓸 수 있는 ‘서비스형 랜섬웨어(RaaS)’도 흔해졌다. 예전에는 이런 정보를 얻으려면 다크웹에 접속해야 했지만, 최근에는 텔레그램에서 쉽게 접근이 가능하다.

장 담당은 전통적 백신 프로그램으로는 AI 시대의 해커를 방어하기 어렵다고 강조했다. 전통적인 백신 프로그램은 이미 알려진 바이러스, 악성코드를 찾아내는 ‘시그니처’ 방식이다. 누구나 AI로 악성코드를 만들면 이 같은 보안 서비스는 무용지물이 될 수밖에 없다. 장 담당은 “과거의 공격 패턴을 학습해 알려지지 않은 새로운 위협을 모니터링하는 AI 관제 서비스가 필수”라고 설명했다.

기업의 업무 환경이 클라우드 중심으로 바뀌는 것도 보안 위협을 키우는 요인이다. 외부에서 접속할 수 있는 경로가 기하급수적으로 늘기 때문이다. 기업의 정보기술(IT) 부서 모르게 클라우드 상에서 만들어진 ‘섀도 IT’도 보안을 위협하는 요소다.

그는 “계정 정보나 스토리지 설정 하나만 잘못해도 데이터가 전 세계에 공개되는 결과로 이어질 수 있다”고 경고했다. 클라우드상의 데이터를 암호화해 외부로 유출되더라도 승인된 사용자만 열람하도록 하는 방식이나 클라우드 환경에서의 사용자 접근 권한 관리 등이 필요한 이유다.

장 담당은 “정보보안은 기술이 아니라 문화의 문제”라며 “보안 담당 부서가 아닌 조직 구성원 모두가 참여하고 대응할 때 진정한 방패가 된다”고 강조했다. 최신 기술을 도입하는 것 이상으로 조직 구성원의 마음가짐이 중요하다는 얘기다. 그는 “경찰이 제 역할을 하려면 시민들의 협조가 필수적”이라며 “마찬가지로 수상한 이메일의 링크를 클릭하지 않거나 다중 인증(MFA)을 활성화하는 등 직원들이 평소 정보보안에 신경을 써야만 보안 시스템이 성능을 발휘할 수 있다”고 당부했다.

규제 중심으로 이뤄진 보안 체계도 바뀔 필요가 있다고 덧붙였다. 장 담당은 “한국은 보안 사고가 생겼을 경우 얼마나 규정을 잘 지켰나에 따라 처벌이 줄어드는 구조”라며 “해외는 자율적으로 보안을 하는 대신 정보가 유출되면 책임을 강하게 묻는다”고 설명했다. 그는 “촘촘하게 짜여진 보안 관련 규제가 역설적으로 정보보안 산업의 성장을 막고 있다”고 비판했다.

이승우 기자 leeswoo@hankyung.com