"거세지는 AI發 위협…공격 테스트하고 방어 연구하는 플랫폼 나와야"

[이진호 기자]

윤두식 이로운앤컴퍼니 대표는 9일 제14회 정보보호의 날 기념식에서 'AI 사이버보안 : 창과 방패의 경쟁'을 주제로 기조연설하고 있는 모습. [사진: 디지털투데이]

[디지털투데이 이진호 기자] AI를 활용한 사이버위협이 거센 상황에서 공격 기법을 자유롭게 테스트하고 방어 기법을 연구하는 플랫폼이 필요하다는 주장이 나왔다.

윤두식 이로운앤컴퍼니 대표는 9일 서울드래곤시티호텔에서 열린 '제14회 정보보호의 날' 기념식 기조연설에서 "이제는 공격을 미리 해보고 공격과 방어를 함께 하는 환경을 만들어야 한다"며 "학계와 기업이 함께 실제 공격 트래픽을 막아보고 공격 사례를 만들어보는 연구가 필요하다"고 말했다.

최근 기업 환경은 딥페이크를 비롯해 생성형 AI로 만든 악성코드에 의한 공격 등 AI를 악용한 위협이 증가하고 있다. 영국의 한 기업에서는 AI가 만든 딥페이크 영상에 속아 거액을 송금하는 사고가 일어났다. 뉴질랜드 국회의원은 자신의 나체 모습을 AI로 생성한 이미지를 의회에서 공개해 화제가 되기도 했다.

윤두식 대표는 악성 AI 도구가 이와 같은 상황을 심화했다고 진단했다. AI가 피싱 이메일을 만들고 변종 멀웨어나 랜섬웨어 코드까지 작성해낸다. 또 난독화 코드를 간소화하고 변형해 탐지 솔루션까지 회피한다.

그는 기업 하나가 AI를 활용한 사이버 위협을 막는 데는 한계가 있다고 했다. 이에 공격 기법을 자유롭게 테스트하는 '토털 플랫폼'을 만들고 방어 기법을 함께 연구해야 한다고 강조했다. 윤 대표는 "AI 시대 사이버 위협은 (공격 정도가) 근본적으로 다를 것"이라며 "전통적인 체계로는 대응이 불가능하다"고 말했다.

기업 입장에서는 직원들이 사용하는 외부 AI 솔루션을 확인하는 것도 과제다. 윤 대표가 제시한 통계에 따르면 한국 기업 72%가 생성형 AI를 사용한다. IT 부서 승인 없이 개인 계정으로 사용하는 비율도 높다.

그는 네트워크 트래픽 분석 사용자 행동분석 DLP 솔루션 활용 AI 사용 정책 관리 실시간 탐지시스템 운용 승인 워크플로우 구축 등을 통해 허가되지 않은 AI 사용을 체계적으로 관리하라고 조언했다. 기업 내부에 멀티 LLM 플랫폼을 구축하거나 기존에 사용하는 소프트웨어에 AI를 통합하는 것도 도움이 될 수 있다.

윤 대표는 "직원들이 어떤 AI를 쓰는지 가시성을 확보하는 것이 중요하다"며 "섀도우(숨겨진) AI를 확인하는 것이 현안"이라고 말했다.

한편 규제에 대한 과도한 의존도 경계하라는 조언이다. AI 기술은 하루가 다르게 발전하지만 AI 규제 마련부터 시행까지는 최소 1년이 걸린다. 윤 대표는 "제재가 완료될 때쯤 위반 당시의 기술은 구시대 유물이 된다"고 짚었다.

한편 이날 기념식에서는 다양한 행사가 마련돼 눈길을 끌었다. 기조연설·세미나와 함께 경품 이벤트와 AI 포토 체험이 호응 받았다. 류제명 과학기술정보통신부 제2차관을 비롯한 정보보호 업계 관계자들은 안랩, 파이오링크 등 기업 부스를 살펴보며 보안 기술력을 확인했다.

류제명 과학기술정보통신부 제2차관(사진 왼쪽에서 세 번째)를 비롯한 정부·업계 관계자들이 9일 정보보호의날 기념식 제품 전시에서 파이오링크 부스를 참관하는 모습. [사진: 파이오링크]

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>