AIㆍML / 보안

“AI로 완전 자동화된 맬웨어 캠페인이 곧 등장할 것”

Cynthia Brumfield | CSO 2023.05.31
미코 히포넨은 핀란드의 사이버 보안 업체 F-시큐어(F-Secure)에서 커리어를 시작해 32년 동안 우직하게 한길을 걸어온 저명한 사이버 보안 전문가다(불과 2년 전 영국의 컴퓨터 과학자 팀 버너스 리가 세계 최초의 웹 브라우저를 발명했던 시기다). 최근에는 연결성의 발전이 사이버 위협을 어떻게 촉진했는지 설명하는 책 ‘똑똑하면 취약하다(If It’s Smart, It’s Vulnerable)’를 출간했다. 여기서는 2023 스피어(Sphere) 컨퍼런스에서 사이버 보안 업계 현황, 유럽의 사이버 보안 위협 증가, 인공지능의 가능성과 위험에 관해 히포넨과 인터뷰한 내용을 정리했다. 
 
ⓒGetty Images Bank
 

성숙기에 접어든 사이버 보안 산업

한때 뜨거웠던 기술 업계는 2023년 현재까지 16만 8,243명의 인력을 감축하면서 난관에 봉착했다. 구글, 아마존, 마이크로소프트, 메타 등 빅테크 기업도 경기침체와 기타 경제적 요인으로 장밋빛 전망이 꺾이고, 지난 10년간 무한해 보였던 상승세에서 후퇴하고 있다. 

하지만 만성적인 인력 부족에 시달리는 사이버 보안 업계는 새로운 인력 수요가 ‘그 어느 때보다 강해’ 보이기 때문에 실리콘밸리의 악재에서 크게 벗어나 있는 듯하다. 현재는 위드시큐어(WithSecure)의 최고 연구 책임자를 맡고 있는 히포넨은 “위협은 항상 존재한다. 나쁜 사람도 항상 존재한다”라면서, “따라서 보안 수요도 꾸준히 존재한다. 사이버 보안은 계속해서 성장하는 비즈니스로 남을 것이다. 사이버 보안에는 직업 안정성이 있다고 믿는다”라고 말했다(위드시큐어는 F-시큐어의 비즈니스 부문에서 분사했다).

히포넨이 커리어를 시작했을 당시에는 사이버 보안 산업이 크게 성장하지 못했지만, 현재 2030년 사이버 보안 업계 매출은 1,620억 달러에 이를 것으로 예상된다. 이런 성숙도를 고려할 때 새로운 사이버 보안 업체가 진입하기 쉽지 않다. “모든 가능한 공격에 관한 탐지 라이브러리를 구축하는 데 해야 하는 작업의 양 때문에 수년 동안 사이버 보안의 진입 장벽은 엄청났다. 그래서 엔드포인트 보안 분야에서는 새로운 스타트업이 등장하기는 어려우리라 본다”라고 히포넨은 전했다. 

히포넨은 “다 그렇다는 것은 아니다. 이상 징후 탐지 및 머신러닝 기반의 새로운 기술로 이 시장에 진입할 수 있다. 지금까지 봤던 모든 가능한 공격을 탐지할 필요는 없다. 이상 징후, 즉 평소에는 일어나지 않는 이상한 일 또는 비정상적인 일이 일어나고 있다는 것을 탐지할 수 있다면 충분하다”라며, “이상 징후를 탐지해야 하는 필요성 때문에 수많은 스타트업이 생겨났다”라고 덧붙였다. 
 

전쟁으로 증가한 유럽의 사이버 위협

지난해 러시아가 우크라이나를 침공한 이후 러시아에 동조하는 위협 행위자의 사이버 위협이 증가하고 있으며, 경미한 피해를 주긴 했지만 유럽 전역의 정부 기관과 기업에 심리적 불쾌감을 안겨주고 있다고 히포넨은 지적했다. 특히, 잘 알려지지 않은 핵티비스트 그룹 노네임057(16)은, 킬넷(Killnet)을 비롯한 다른 친러시아 그룹과 함께 2022년 3월부터 디도시아(DDosia)라는 프로젝트를 통해 유럽 전역에 꾸준히 디도스 공격을 감행해 왔다.

히포넨은 이 그룹의 주요 커뮤니케이션 수단인 노네임057(16) 텔레그램 채널을 스캔하고, 이 그룹의 최근 공격 목록을 언급했다. “프랑스 공항, 독일 공항, 독일 무기 제조업체, 이탈리아 은행, 이탈리아 공공부문 등이 타깃이 됐다. 이런 종류의 공격은 기업에 경각심을 불러일으키는데, 정부가 아닌 러시아의 애국심 넘치는 해커 같은 갱단이 공격을 하기 때문이다”라고 설명했다(하지만 우크라이나 보안국의 사이버 정보 보안 부서장은 지난 4월 RSA 회의에서 러시아 핵티비스트가 국가의 후원을 받고 있다고 생각한다고 밝혔다). 

히포넨은 “노네임057(16)은 프랑스 공항 같은 갈등에 휘말릴 가능성이 있는, 놀라운 목표물을 공격했다”라면서, “이 그룹은 상징적인 타깃을 찾고 있다. 이런 공격은 우크라이나 전쟁과 관련돼 있으며, 거의 모든 타깃이 유럽에 있다”라고 덧붙였다. 

이를테면 볼로디미르 젤렌스키 우크라이나 대통령이 의회 연설을 시작하기 직전, 친러시아 해커 그룹은 핀란드 국방부 웹사이트를 다운시키기도 했다. 히포넨은 “마지막으로 국방부 웹사이트를 방문한 때가 언제인가? 사실 아무도 국방부 웹사이트를 방문하지 않는다. 따라서 웹사이트 자체는 전혀 중요하지 않다. 올해 남은 기간 웹사이트를 닫아도 아무도 찾지 않을 터다. 국방부와 군대의 작전 능력에는 아무런 영향을 미치진 않는다”라고 말했다. 

히포넨에 따르면 실제 파괴적인 요소는 없지만 이런 공격의 목적은 유럽의 사기를 약화시키는 것이다. “기분이 나쁘다. 정말 기분이 나쁘다. 이게 바로 친러시아 해커 그룹이 하려는 일이다”라고 그는 덧붙였다. 
 

맬웨어 캠페인의 완전한 자동화가 오고 있다

챗GPT 그리고 빠르게 부상하고 있는 수십 개의 AI 앱은 이번 컨퍼런스에서도 가장 뜨거운 주제였다. 사이버 범죄와 사기를 더 효과적으로 조장할 수 있기 때문이다. 히포넨은 기조연설에서 “흥미진진한 동시에 무섭기도 하다. 역사상 가장 뜨거운 여름을 살고 있다”라고 언급했다. 

히포넨은 사이버 보안 업계가 AI 기술을 수용하는 것은 필수라고 강조했다. “자동화, 머신러닝, AI를 사용하지 않으면 사이버 보안 업체가 공격의 양을 따라잡을 수 없다. 이미 꽤 오랫동안 이 기술을 활용해 왔다”라고 전했다. 

히포넨은 악의적인 위협 행위자가 AI 소스 코드를 사용해 기술을 완성하는 데는 몇 달밖에 걸리지 않을 것이라고 내다봤다. “맬웨어 캠페인의 완전 자동화가 앞으로 몇 달 안에 실현되리라 본다. 아직은 공격자가 인간의 속도로 작업하고 있기 때문에, 사이버 보안 시스템 또는 보안 업체는 자동화 및 머신러닝을 사용해 새로운 공격을 매우 빠르게 발견하고 대응할 수 있다”라고 말했다. 
 
한편 사이버 방어자의 단점도 있다. AI의 작동 방식에 관한 가시성과 이해 부족으로 특정 시점이 되면 AI의 기능을 파악할 수 없게 된다는 것이다. 히포넨은 “고객이 ‘우리가 만든 프로그램을 차단하고 있는데 왜 차단했나요?’라고 묻는다고 가정해 보자. 대답할 수 없다. 기계가 그렇게 했기 때문이라는 말 빼곤 할 말이 없다.”라면서, “해당 프로그램을 허용 목록에 추가하고 수동으로 확인할 수 있지만 머신러닝 프로엠워크이기 때문에 고객에게 왜 이 프로그램이 차단됐는지 더 이상 대답할 수 없다. 이것은 블랙박스다. 너무 오랫동안 스스로 학습해 왔기 때문이다”라고 전했다. 
editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.