▶ 기사링크:  https://myip.kr/yPpmF

손기욱 교수(사이버안보학회장) “AI 시대 해킹 대응, 회복탄력성 강화가 핵심” 

사이버 공격은 날로 정교해지고, 단편적 사건을 넘어 산업과 기술 환경 전반에 영향을 미치고 있다. 변화하는 위협 속에서 보안 시장과 기업 대응 체계는 재편의 기로에 놓였다. 2026년 신년 기획 ‘보안 아웃룩’에서는 사이버 보안 위협과 주요 트렌드를 짚고, 보안 시장과 환경이 향하는 방향을 조망한다. [편집자 주]

사이버 공격이 반복되는 오늘날, 보안의 핵심은 더 이상 침입 자체를 막는 데 있지 않다. 보안 전문가들은 해킹 사고 발생을 상수(常數)로 두고, 공격자가 들이는 노력과 투자 대비 얻을 수 있는 이득을 최소화해야 한다고 지적한다. 즉 침해 사고 발생 이후에도 피해 확산과 서비스 중단 시간을 최소화하는 이른바 ‘사이버 회복탄력성(Cyber Resilience)’ 강화가 국가와 기업 보안 전략의 핵심 과제로 떠오르고 있다.

손기욱 한국사이버안보학회 회장(서울과학기술대학교 컴퓨터공학과 교수)은 IT조선과의 신년 인터뷰에서 “공격을 100% 막겠다는 접근은 더 이상 현실적이지 않다”며 “보안 사고는 언제든 날 수 있다는 전제 아래, 피해를 얼마만큼 줄이고 얼마나 빨리 정상 상태로 돌아올 수 있느냐를 고민해야 한다”고 말했다.

 | “해킹 차단보다는 피해 최소화와 회복에 초점 맞춰야”

손 회장은 최근 연이은 국내 사이버 침해 사고에 대해 “공격자들의 초기 침투 방식은 계정 탈취나 이메일 사기 등 과거와 크게 달라지지 않았다”면서도 “통신사나 거대 플랫폼 등 국민 생활에 영향을 주는 서비스를 노려 피해를 빠르게 확산시킴으로써 사회 인프라 리스크 문제로 커진 상황”이라고 평했다.

사이버 공격의 피해가 빠르게 확산되는 배경 중 하나로는 서비스 운영 구조의 변화가 있다. 상당수 서비스들이 클라우드 인프라 위에서 운영되는 가운데 외주 개발사와 운영 대행사, 그리고 다양한 상용·오픈소스 소프트웨어 구성요소가 함께 얽혀 돌아간다. 이렇게 복잡한 구조에서는 기업이 미처 관리하지 못한 외부 관리 계정이 탈취되거나 사소한 설정 오류, 또는 업데이트 과정에서 발생한 작은 문제 등도 직접 연결되지 않은 다른 영역까지 영향을 미칠 수 있다. 이에 침해가 발생한 지점과 실제 피해가 드러나는 지점이 일치하지 않는 사례도 적지 않으며 사고 원인 규명에 예상보다 오랜 시간이 걸리기도 한다.

이런 이유에서 보안 강화는 단기간에 성과를 내기 어려운 과제가 됐다. 지난해 보안 사고를 반면교사 삼아 올해부터 투자를 크게 늘린다고 해서 사고가 일어나지 않는다고 그 누구도 보장할 수 없다. 손기욱 회장은 “미국 국가 사이버 보안 전략의 모토는 공격자에게 최대한의 비용을 치르게 하면서 가져가는 것을 최소화하는 데 있다”면서 “즉 단 하나의 유출도 없도록 막겠다고 하지 않는다”고 말했다. 그러면서 그는 “공격을 위해 100을 투자했는데 가져오는 게 50이라면 공격 의지를 상실하게 되는 것이다. 이를 목표로 삼아야 한다”고 설명했다.

그러면서 그는 보안 강화를 위해서는 특정 기술을 추가하는 방식이 아니라, 사고를 전제로 한 운영 구조의 전환이 필요하다고 강조했다. 즉 사이버 공격을 안일한 의식에서 비롯된 예외적 사건이 아니라 상시 발생 가능한 위험으로 보고 침해 이후에도 서비스가 멈추지 않도록 설계하는 것이 중요하다는 것이다.

이를 위해서는 우선 조직이 스스로 보유한 자산이 무엇인지부터 명확히 파악할 필요가 있다. 또 계정과 인증을 통해 접근 권한을 관리하는 시스템도 필요하며 적절한 시점에 취약점 패치도 해줘야 한다. 시스템 변경 이력 통제를 비롯한 이상 징후 탐지와 각종 시스템 로그를 판단할 수 있는 운영 체계도 갖춰야 한다. 이런 기본적인 관리 구조가 작동하지 않으면 침해가 발생했을 때 피해를 통제하거나 빠르게 복구하는 것을 기대하기란 요원한 일이다.

손 회장은 “보안은 결국 운영의 문제”라며 “서비스 전체를 사고 이후까지 포함해서 어떻게 설계하느냐가 회복탄력성을 좌우한다”고 말했다.

| “AI로 공격 고도화되는데…방어는 여전히 분절돼 있어”

최근 사이버 공격의 확산은 인공지능(AI)의 발전과도 밀접하게 연결돼 있다. AI가 사이버 공격의 속도와 정밀도를 동시에 끌어올리고 있기 때문이다. 공격자들은 AI를 활용해 피싱과 스미싱 등 사회공학 공격을 자동화해 규모를 급속도로 키우고 있으며 텍스트뿐 아니라 음성과 이미지, 영상까지 결합한 기만적 공격을 빠르게 고도화하고 있다.

손 회장은 “이제 사회공학 공격은 사람이 하지 않는다. 앞으로는 한층 더 산업화될 것”이라며 “AI가 문장과 음성, 이미지를 만들어내면서 공격의 속도와 규모가 과거와는 비교할 수 없을 정도로 커졌다”고 말했다.

손 회장은 그러면서 “방어 측 대응 구조가 이를 따라가지 못하고 있어 문제”라고 지적했다. 공격은 자동화되고 고도화되고 있지만, 방어 체계는 여전히 조직·부서·솔루션 단위로 분절돼 있다는 지적이다. 이런 분절된 구조에서는 공격의 흐름과 맥락을 놓치기 쉽고 대응 속도도 뒤처질 수밖에 없다.

손 회장은 이에 따라 보안관제센터(SOC)의 역할 역시 변화가 불가피하다고 말했다. 반복적인 탐지와 분석을 AI로 자동화하고, 위협의 진위와 영향 범위를 판단하는 쪽으로 사람의 역할을 옮겨나가야 한다는 설명이다. 동시에 모델 도용, 데이터 오염, 입력값 조작 등 AI 자체를 겨냥한 새로운 보안 위협도 함께 대비해야 한다고 덧붙였다.

| “보안 사각지대 방치하면 더 큰 피해로 돌아온다”

손 회장은 사이버 회복탄력성 논의에서 중소기업과 소규모 기관이 놓인 현실이 가장 큰 위험 요인 중 하나라고 경고했다. 국내 중소기업 상당수는 보안에 대한 인식이나 투자 여력이 부족해 사실상 기본적인 방어 체계조차 갖추지 못한 곳도 적지 않다. 이런 조직들이 인터넷과 외부 서비스에 연결돼 있는 한, 공격자 입장에서는 가장 손쉬운 침투 지점이 된다. 여기에 대기업과의 협력 등에 따라 더 큰 공격의 시작점이 될 가능성도 무시할 수 없다. 

이런 가운데 손 회장은 개별 기업이나 기관이 각자 보안을 강화하도록 요구하고, 책임과 처벌만을 강화하는 현재의 방식에는 분명한 한계가 있다고 말했다. 예산과 인력이 부족한 중소 조직은 전문 보안 서비스를 도입하기도 어렵고, 규모가 작다는 이유로 보안 솔루션 기업의 관심에서도 벗어나기 쉽다는 것이다. 이 때문에 정부의 중소기업 보안 강화 지원이 필요하며, 예를 들어 여러 중소기업이나 소규모 기관을 일정 단위로 묶어 대응하는 구조가 필요하다고 제언했다.

손 회장은 “10개, 20개 조직을 묶어 공통의 보안 기준을 만들고 함께 예산을 집행하면, 중소기업들도 보안을 강화할 수 있다”며 “이렇게 규모를 만들면 보안 서비스 제공자 입장에서도 도전해볼 만한 시장이 된다”고 말했다. 특히 지자체나 공공기관 등이 앞서서 비슷한 환경의 조직들을 묶어주는 역할을 한다면 최소한의 보안 수준을 끌어올리는 데 도움이 될 수 있을 것으로 기대한다.

그는 이런 구조가 단순히 중소기업을 보호하기 위한 차원을 넘어, 보안이 취약한 작은 조직 하나가 더 큰 기업이나 플랫폼으로 이어지는 공격의 출발점이 될 수 있다는 점에서 전체 위험을 낮추는 효과도 있다고 본다.

마지막으로 손 회장은 “사이버 보안은 사고 책임을 따지는 문제가 아니다”라며 “공격은 언제든 일어날 수 있다는 전제에서 침해 이후에도 서비스를 이어가고 얼마나 빨리 정상 상태로 돌아올 수 있느냐가 중요하다”고 다시 한 번 강조했다. 이어 “기업은 보안을 단순히 뚫리느냐 마느냐의 문제가 아니라 서비스와 신뢰를 어떻게 지켜내느냐의 문제로 보고 투자를 강화해야 한다”고 덧붙였다.

정종길 기자
jk2@chosunbiz.com

출처 : IT조선(https://it.chosun.com)