사이버 복원력과 AI에 관한 상상력의 한계를 반드시 확장
1967년 아폴로 1호 우주비행사 세 명의 목숨을 앗아간 비극적인 화재의 여파로, 그 원인과 대책을 논의하기 위해 미국 의회의 청문회가 소집되었습니다. 존경받는 우주비행사인 Frank Borman이 위원회 앞에서 증언을 하고 간단한 질문을 받았습니다. "화재의 원인이 무엇이었습니까?"
그는 기술적인 설명이 가미된 답변 대신 간략하고도 거침없는 답변을 내놓았습니다. "상상력이 부족했기 때문입니다."
모든 사이버 보안 동료들과 우리의 상사에게 하고 싶은 말은, 우리의 상상력을 확장하지 않는 한 사이버 복원력, 즉 운영상의 영향을 최소화하여 사이버 공격으로부터 즉각적이고 완전히 회복할 수 있는 능력을 저해할 수 있는 그 어느 때보다 큰 위험에 처해 있다는 것입니다. 그리고 이 노력의 영감이 되는 요소이자 우리를 향한 위협과 우리를 위한 전력 증강 모두로 작용하는 것이 바로 인공 지능(AI)입니다.
한편에서 AI는 악의적인 국가 주도 공격부터 악성 내부자, 단독 범행을 일삼는 해커 등 사이버 범죄자들이 광범위하고 능숙하게 활용하고 있습니다. 이들이 포기하지 않는 한 AI는 가장 강력한 무기가 될 것입니다. 동시에 AI는 공격자를 앞설 수 있는 가장 훌륭한 자산이자 최선의 희망이기도 합니다. 우리의 상상력을 사용한다면 말입니다.
복원력에 대한 위협
2년 전 저는 코로나19 이후 환경의 사이버 보안에 대한 글을 기고한 바 있습니다. 글을 쓸 당시 팬데믹이 공식적으로 "막을 내린" 것은 아니었지만, 저는 코로나19가 종식되었을 때 더 강력한 사이버 보안과 사이버 복원력을 위한 계획을 수립할 CISO와 CIO의 필요성을 강조했습니다. 그 이유는 무엇일까요? 미래에 또 다른 바이러스 위협이 도래할 것이 분명하며 그 영향을 견딜 수 있도록 하기 위해서입니다. 사이버 공격자들 또한 배우며 성장합니다.
그리고 생성형 AI가 등장했습니다.
최근 몇 년 전, 허술하고 아마추어 같은 피싱 이메일을 통해 유도되기도 했던 다크 웹에서 Rootkit을 손쉽게 구할 수 있었던 때를 떠올려 보시기 바랍니다. 이제 해커들은 ChatGPT처럼 광범위하게 사용되고 훨씬 더 정교한 GenAI 도구를 사용합니다. 맞춤법, 문법, 구두점과 구문 오류로 가득한 피싱 이메일을 기억하십니까? 요즘은 찾아보기 어렵습니다. 오늘날의 해커들은 ChatGPT에 완벽한 이메일 작성을 요청하기만 하면 됩니다.
복원력에 대한 또 다른 중요한 위협은 우리가 과거에 보고 경험한 적이 있으며 지금은 대대적인 캠페인으로 만날 수 있는 것입니다. 바로 대통령 선거입니다. 그리고 이는 미국에만 국한되지 않습니다. 2024년에 국가의 지도자를 뽑는 60개 이상의 선거가 전 세계에서 치러질 예정입니다. 한 사람의 유권자의 편견과 두려움에 맞춘 허위 정보, 딥페이크, 선별된 메시지로 국민들 사이에 불화를 일으키고 싶은 정치 해커들에게 이보다 더 좋은 날은 없을 것입니다.
금융 기관을 상대로 한 AI 기반 랜섬웨어는 말할 필요도 없습니다. 은행과 재산, 민감한 데이터의 저장소를 방어하기 위한 최첨단 사이버 보안이 구축되었음에도 불구하고, AI 및 ML 알고리즘을 정교하고 창의적으로 사용하는 악성 행위자들은 계속 유입되고 있습니다.
취해야 할 조치
CISO, 비즈니스 경영진, 사이버 보안 업계 리더로서 우리는 시스템을 가동 및 실행하고 데이터를 보호해야 할 책임이 있으며 사이버 복원력과 관련하여 "바람직한" 것이 무엇인지 반드시 정의해야 합니다.
한 가지는 분명합니다. 필요한 경우 단 한 명의 인력 없이 가장 정교한 공격까지도 차단할 수 있어야 합니다. 훌륭한 사이버 탐정과 열정적인 보안 분석가가 필요하지 않다는 말이 아닙니다. 정말 필요합니다. 그러나 인력의 직접적인 개입 없이는 AI를 신뢰할 수 없다는 사고방식에서 벗어나야 합니다. 우리는 AI 모델을 신뢰해야 합니다. 방화벽에 문제가 있음을 AI가 알려줄 경우 이를 받아들이고 잠재적인 공격을 사전에 차단해야 합니다. 신뢰할 수 있는 공격이나 오탐 여부를 알아낼 수동 분류를 수행할 시간이 없습니다. 두 번째 지연이 발생한다면 결과는 처참해질 수 있습니다. 인간은 AI 모델을 증강해야 하며 물론 이를 교육해야 하지만 병목 현상이 있어서는 안 됩니다. 우리의 목표는 가능한 한 실시간에 가까워지는 것이며 AI가 없다면 이는 불가능합니다.
또한 우리는 사업적 리스크를 관리하기 위한 접근 방식을 재구성해야 합니다. 공격 표면이 확대되고, 제어하기 힘든 데이터 확산을 처리하고, 언제 어디서나 인력을 지원하고, 복잡한 공급망을 관리하고, 급증하는 규제 요구 사항을 충족하는 것은 오늘날 우리 조직에만 해당되는 것이 아닙니다. 해를 거듭할수록 이 모든 것은 더 복잡해지고 중요해집니다.
보안 프레임워크 또한 재구성해야 합니다. 기술이나 프로세스뿐만 아니라 사이버 보안과 복원력을 위한 전체 전략도 해당됩니다. 보안 효과를 올바르게 측정하기 위해서는 현대화되고 미래를 내다보는 메트릭이 필요합니다. 우리의 노력이 실제로 효과가 있는지를 최고 경영진이나 이사회 구성원은 물론 스스로에게조차 말할 수 없다면 우리는 길을 잃게 됩니다.
마지막으로, 우리의 위협 대응은 그 어느 때보다 빨라야 하며, 더욱 자동화되고 지능적이며 컨텍스트를 기반으로 해야 합니다. 모든 알림을 생존에 직접적인 위협이 되는 것처럼 추적하거나 각 알림을 동일한 심각성으로 처리하는 것을 원하십니까?
보안 방식에 따라 변화하는 AI
AI가 공격자와 고객을 위해 무엇을 수행하는지 파악할 수 있는 최고의 방법은 직접 다루는 것입니다. Palo Alto Networks에서는 10년 이상 AI를 제품에 엔지니어링해 왔습니다. AI는 다양한 방식으로 우리에게 엄청난 결과를 제공합니다. 최고의 사이버 보안 기술 파트너일 수 있으며, 범죄자들의 거대한 공격 지점이 될 수도 있습니다.
AI는 고객이 더 높은 효율성과 효과를 갖출 수 있도록 보안 팀의 역량을 강화하며, 이는 보안 위협이 가속화되는 변화의 속도에 있어 반드시 필요한 능력입니다. 또한 인력 개입 없이 조직이 정교한 공격을 차단하는 데 도움을 줍니다.
이를 위해 조직은 다음 기능을 반드시 갖추어야 합니다.
- 적절한 데이터를 수집 및 관리합니다. 막대한 양의 데이터를 보유하는 것만이 답이 아닙니다. 사이버 보안에서 AI를 최대한 활용하기 위해서는 적절하고 상황에 맞는 데이터가 필요합니다.
- 플랫폼 접근 방식을 채택합니다. 다시 말하지만, "더 많은 기술"은 우리가 추구해야 하는 것이 아닙니다. 대신 단순히 개별 도구를 모아두는 대신 효율성, 인텔리전스, 빠른 대응을 유도할 수 있는 방식으로 기술을 엔지니어링 및 구축해야 합니다.
- 심층적인 전문 지식을 활용합니다. 전문 지식은 인간 지능의 형태이거나 당연히 인공 지능이어야 합니다. CISO, CIO 및 사업 동료에게 AI 구성 요소는 매일 더 명확해지고 있습니다. 그러나 인간의 지능 역시 여전히 중요합니다. AI 기반 자동화 도구는 유능하고 헌신적인 직원이 일상적인 작업과 불필요한 작업에서 벗어나 최근까지 상상할 수 없었던 일을 수행할 수 있도록 지원합니다.
보안 프레임워크 또한 재구성해야 합니다. 기술이나 프로세스뿐만 아니라 사이버 보안과 복원력을 위한 전체 전략도 해당됩니다. 보안 효과를 올바르게 측정하기 위해서는 현대화되고 미래를 내다보는 메트릭이 필요합니다. 우리의 노력이 실제로 효과가 있는지를 최고 경영진이나 이사회 구성원은 물론 스스로에게조차 말할 수 없다면 우리는 길을 잃게 됩니다.
마지막으로, 우리의 위협 대응은 그 어느 때보다 빨라야 하며, 더욱 자동화되고 지능적이며 컨텍스트를 기반으로 해야 합니다. 모든 알림을 생존에 직접적인 위협이 되는 것처럼 추적하거나 각 알림을 동일한 심각성으로 처리하는 것을 원하십니까?
조치 사항: 사이버 복원력을 위한 AI 구축에 대한 경영진 체크리스트
동료들과 팀이 문제를 해결하고 기회를 활용할 수 있도록 실천 가능한 실제 단계를 제공할 수 있는 방식으로 생각하고 행동하는 것이 좋습니다. 다소 투박하지만 이를 설명할 수 있는 저만의 방법은 "그래서?"입니다.
저는 여러분의 하루 중 몇 분을 할애하여 여러분이 24시간 내내 겪고 있을 문제에 대한 맥락을 설명하고 왜 이 문제를 해결해야 하는지에 대한 관점을 제시했습니다. 이제, 여러분의 조직에서 사이버 복원력을 위해 AI를 효과적이고 안전하게 사용하기 위해 무엇을 할 수 있는지에 대한 저만의 "그래서" 아이디어를 드리겠습니다.
1단계: 내부의 모든 AI 리스크를 문서화합니다. 상상력을 확장하기 가장 어려운 영역일 수 있지만 사이버 복원력에 있어 가장 큰 이점으로 작용할 것입니다. 이를 처리하기 위한 세부적인 방법론과 모든 사람의 동의 없이 내부의 모든 AI 리스크를 처리하는 것은 매우 어렵습니다. 예를 들어, 이 문서를 읽는 모든 분들이 LLM을 사용하고 있다고 생각해 보겠습니다. 그렇다면 퍼블릭 LLM이 여러분의 소스 코드에 액세스하지 못한다고 확신할 수 있습니까?
2단계: AI 데이터의 입력과 출력을 파악합니다. AI를 사용하는 브라우저 플러그인이나 도구가 어떤 것인지 알고 있습니까? Grammarly가 AI를 사용하여 모든 이메일을 읽는다는 것을 알고 있습니까? (수사적 질문이 아닙니다.)
3단계: AI 리스크의 외부 레지스터를 확인합니다. 예를 들어, Zoom AI 회의 요약은 어디에 있습니까? HR 챗봇이 급여 또는 의료 정보에 액세스할 수 있습니까? 모른다면 빨리 찾아야 합니다.
4단계: 기업에서 사용해야 하는, 그리고 사용하지 않아야 하는 모든 AI 서비스를 카탈로그화합니다. 이 데이터베이스는 반드시 생성해야 하며, 여기서 끝나서는 안 됩니다. 어떻게 최신 상태로 유지합니까? 이는 정적 자산이 아닙니다.
5단계: 전사적인 AI 정책을 수립합니다. DIY를 해보신 적 있다면, AI를 전기톱처럼 생각해 보세요. 훌륭한 도구지만 제대로 사용하지 않으면 아주 위험합니다. 조직 내 모든 사람이 AI를 사용하여 해야 할 것과 하지 말아야 할 것, 그리고 그 이유를 알아야 합니다.
6단계: 신뢰할 수 있는 사이버 보안 리더와 협력합니다. 도구는 이를 제공하는 기술 파트너에 의해 좌우됩니다. 앞서 언급한 대로, AI 사용에 대한 "간소화, 통합, 확장"의 원칙을 기준으로 AI 기반 솔루션을 개발하는 것이 현명한 방법입니다.
50여 년 전 Frank Borman이 미국 우주 업계에 던진 선견지명 있는 조언은 확고히 자리를 잡았습니다. 미국 항공 우주국(NASA)은 리스크에 대한 정의와 전략은 물론, 리스크에 대응하고 이를 저지하기 위해 사용한 도구, 시스템, 철학을 완전히 재구성했습니다.
우리 모두는 더욱 사이버 복원력을 갖춘 사고방식을 수립하고, 더 지능적인 공격자와 더 큰 위험을 감수해야 하는 여러 위협 벡터에 맞설 수 있도록 전략적이고 혁신적인 AI 사용에 대해서도 동일하게 적용해야 합니다.
우리에게 상상력을 발휘할 것을 강요하는 아폴로 1호와 같은 규모의 비극이 발생하지 않기를 바랍니다.