[애플경제 김남주 대기자]‘열 명이 한 명의 도둑을 잡지 못한다’는 말이 있다. 그만큼 내 재산을 지키기가 어렵다는 일이다. 아무리 고층 아파트라도 베란다 문에 잠금장치를 안 해 놓으면 도(盜)선생은 바람 같이 스며들어와 귀금속을 털어 나간다. 디지털 세상에서도 도둑들이 득실댄다. 랜섬(ransom), 즉 몸값을 내지 않으면 훔친 물건을 내놓지 않는 아주 악랄한 작태가 비일비재하다. 랜섬을 지불하지 않으면 소중한 디지털 재산을 완전히 망가뜨릴 것이라 협박하면 당해 낼 재간이 없다. 그래서 사이버 보안이 중요하다. 일거에 소중한 개인정보 수천, 수만 건이 털리는 일도 잦다. 아무리 보호막을 견고하게 쳐대도 귀신 같이 침투하는 사이버 해커들의 기량은 혀를 내둘리게 한다. 인공지능(AI) 시대에 사이버 공격자들은 새롭게, 예리하게 벼린 무기로 무장하고 먹잇감을 찾아 나설 기세다. AI 코드가 오픈소스화 되는 물결에 편승해 이를 악용하여 더욱 고도화된 공격무기를 갖출 것이란 우려가 확산되고 있다.
사이버 테러리스트들은 시간이 갈수록 기승을 부리면서 건수 또한 큰 폭으로 늘고 있다. 세계 최대 컴퓨터 제조기업 IBM에 소속된 사이버 보안 조직인 엑스포스에서 최근 발표한 ‘2024 엑스포스 위협 인텔리전스 인덱스’ 보고서에 따르면, 지난 한 해 동안 전 세계적으로 사용자의 ID와 패스워드를 탈취해 이용한 사이버 공격이 71%나 폭증했다. 이 보안조직이 분석한 내용에 의하면 사이버 범죄자들은 교묘하게 조직의 보안 시스템을 통과하는 데 저항이 가장 적은 경로를 찾아 은밀하게 잠입하는 것으로 드러났다. 조직원이 실제로 사용하고 있는 계정을 사용하는 경우, 공격자는 조직의 네트워크에 로그인하기만 하면 초기 보안 검사를 피할 수 있다. 이러한 침해는 합법적인 신원 증명을 이용하기 때문에 방어해 내기 어렵고, 특히 일반 해킹 사고보다 훨씬 더 복잡한 대응 조치가 필요한 것으로 분석됐다. 보고서는 또 생성형 AI가 사이버 공격자들의 최적화 도구로 자리 잡게 될 것이라는 경고도 내놓았다. 기업이 데이터를 요약하고 정리하는 데 생성형 AI를 활용하려는 것처럼, 사이버 범죄자들도 공격에 가장 적합한 대상을 찾아내기 위해 해킹으로 수집한 대규모 데이터에 AI를 적용할 수 있다는 것이다.
우리 업계에서도 AI 시대에 대응하여 보안 태세 정립에 분주한 모습이다. 한 사례를 보자. LG전자는 최근 고려대와 업무협약을 맺고 정보보호대학원 석사 과정에 ‘LG 사이버보안 트랙’을 신설하기로 했다. LG전자가 LG 사이버보안 트랙을 신설한 건 가파른 AI 확산 속도를 따라잡기 위해서다. 냉장고 세탁기 공기청정기 에어컨 등 LG의 모든 제품에 고성능 AI가 장착되는 만큼 보안을 강화할 필요성이 높아지고 있다고 본 회사 측은 판단 한 것이다. LG전자는 자체 개발한 보안 서비스 ‘LG 실드’로 외부 공격을 막고 있는데 AI의 빠른 발전 속도를 감안할 때 수시 업데이트가 필요하다고 보고 있다. 이에 충분한 보안 인력 없이 AI 시대를 맞이하면 자칫 큰 낭패를 볼 수 있다는 게 이 회사의 입장이다.
LG의 경우처럼 AI 시대에 대응한 철저한 사이버 보안 대책이 기업은 물론이거니와 국가 행정기관, 지자체, 공공기관 등 여러 조직에서도 긴급한 실정이다. AI로 무장한 사이버 범죄자들이 공격 방법을 계속 혁신함에 따라 위협은 점점 더 증가할 것으로 보이기 때문이다. 자칫 이를 소홀히 하고 늑장을 부리게 되면 호미로 막을 일을 가래로도 못 막을 수가 있다.
사이버 보안 전문가들은 생성형 AI는 소셜 미디어, 기업 이메일, 블로그 및 기타 출처에서 정보를 수집해 거의 사람의 입력 없이도 개인화 및 대량 생산이 가능한 구체적이고 사실적인 피싱 이메일을 생성할 수 있다고 하면서 각종 조직은 AI가 생성한 콘텐츠를 탐지하고 직원 교육을 개선하는 데 최적화된 피싱 탐지 시스템을 포함해 보다 진보된 피싱 탐지 시스템 구축이 필요하다고 조언한다. 아울러 악성 사이버 공격자는 지능적인 도구를 활용해 네트워크에 대한 액세스를 지속적으로 시도하고 있는 만큼 기업은 AI 기반 보안 테스트를 통합해 방어 체계를 강화하는 것이 불가피하다고 강조한다. 이에 사이버 공격을 당하기 전에 미리 취약점을 찾아내 개선하고 보안 태세를 강화하는 노력을 게을리하면 안 된다고 조언한다. 과거 여러 사례에서 보듯이 사이버 공격자에게 한 번 털리면 이는 걷잡을 수 없다. 기업 등 조직은 AI의 긍정적인 면만을 보고 개발과 이용에 열중하는 한편, 자신들의 디지털 재산을 잘 지킬 수 있는 대책 마련에도 큰 관심을 가져야 할 것이다.