사이버보안학과

[아시아타임즈=김보연 기자] ICT 기술이 발전할수록 사이버 해킹 기술도 날로 고도화되고 있다. 최근 잇따른 기업들의 개인정보 유출 사건은 개인정보 보호와 사이버 보안 대책 마련이 시급함을 보여준다.

곽진 아주대학교 사이버보안학과 교수. (사진=곽진 교수) 

곽진 아주대학교 사이버보안학과 교수는 AI 기술이 사이버 공격을 더욱 위협적으로 만들 수 있다고 우려하며, 민관협력 강화를 통해 AI 시대 새로운 사이버 위협에 대비해야 한다고 강조했다.

또한 양자암호통신 등 차세대 보안기술 발전이 개인정보 보호에 큰 기여를 할 것으로 기대되지만, 기술의 발전만으로 모든 문제를 해결할 수 없다고 단언했다. 곽 교수는 법제도적 규제, 기업의 책임의식, 개인의 보안인식 개선, 사회적 합의 등 우리 사회의 다각적인 노력이 병행되어야 함을 주문했다. 

다음은 곽진 교수와의 일문일답.

A. 기업들이 보호시스템을 강화하고 관리 인력을 확충하는 것은 사이버 보안 역량을 높이는데 매우 중요한 요소지만, 이것만으로 100% 완벽한 사이버 보안을 달성하기는 현실적으로 쉽지 않다. 몇 가지 이유를 말씀드리면, 우선 공격기술이 지속적으로 진화하고 고도화되고 있다. 해커들은 끊임없이 새로운 공격 기술과 방법을 시도하고 개발한다. 따라서 기업은 최신 보안 위협에 대한 정보를 수집하고 이에 대응하는 최신 보안 기술을 도입하는 등 많은 노력을 하고 있지만, 100% 차단을 하거나 탐지하는 것은 기술적으로 매우 어려운 일이다. 

또, 아무리 강력한 보안 시스템을 구축하더라도 내부 직원의 실수나 악의적인 행위로 인해 정보 유출사고가 발생할 수 있다. 이를 보완하기 위해 정기적인 보안 교육을 실시하고, 접근권한 관리체계를 강화하고, 정기적으로 보안 감사 등을 수행하고 있지만 100% 완벽하게 대응을 하는 것은 쉽지 않은 일이다. 

마지막으로, 복합적인 환경에서 발생하는 예상치 못한 보안 위협들이 있다. 클라우드·AI 등 기업의 IT 환경은 다양한 기술들과 시스템들이 융합하는 환경으로 변화하고 있죠. 너무나 빠른 속도로 환경이 변화를 하다보니 모든 취약점을 완벽하게 파악하고 대응하기 매우 어려운 상황이고, 기업 입장에서는 다양한 자원들을 효율적으로 안전하게 운영하기 위해 많은 노력과 비용을 투자할 수 밖에 없게 된 것 같다. 

결론적으로, 기업들은 보호장치 및 관리인력 강화와 함께 지속적인 투자, 최신기술 도입, 직원 교육, 시스템 환경 개선 등 다각적인 노력을 통해 사이버 보안 수준을 높이기 위한 노력을 기울여야 한다. 100% 완벽한 사이버보안은 어려운 일이지만 지속적인 노력을 통해 사이버공격으로 인한 피해를 최소화할 수 있도록 노력해야 한다.

A. IoT 기기의 확산, 클라우드 서비스의 증가, 모바일 환경의 확대, AI 기술 보편화 등으로 공격할 수 있는 대상이 넓어졌다고 볼 수 있을 것 같다. 글로벌 환경 변화와 함께 등장한 주요 사이버 위협을 몇 가지 말씀드리면, 우선 클라우드 환경의 취약점에 따라 발생할 수 있다. 기업 및 개인 데이터가 클라우드에 집중되면서 해킹 시 대규모 정보 유출 가능성이 높아졌다.

IoT 기기의 보안 취약점들이 해커들에게 악용돼 개인 정보 유출, 사생활 침해 등의 피해를 발생시킬 수 있다. 해킹된 IoT 기기를 봇넷으로 만들어 대규모 디도스 공격 등에 악용하는 상황도 발생할 수 있다. 스마트 홈 기기 해킹으로 화재, 가스 누출 등 물리적 피해로 이어질 수 있는 가능성도 존재하겠죠. 

또한, 랜섬웨어는 시스템이나 데이터를 암호화하고 금전을 요구하는 악성 프로그램으로, 감염 시 기업과 개인에게 막대한 피해를 줄 수 있다. 해커들은 소프트웨어 개발 단계부터 공급망에 침투해 악성 코드를 삽입하는 등의 공격도 수행할 수 있다. 공급망 공격은 정상적인 소프트웨어 업데이트 과정을 통해 이루어지는 경우가 많아 탐지가 쉽지 않다는 문제점도 가지고 있죠. 마지막으로 AI 기반 공격이다. AI 딥페이크 기술을 이용해 가짜 뉴스, 허위 정보 유포, 금융 사기 등 다양한 범죄에 악용될 수 있고, AI 기술 기반의 자동화된 사이버공격을 통해 더욱 빠르고 효율적인 사이버 공격이 수행될 수도 있다. 

곽진 아주대학교 사이버보안학과 교수. (사진=곽진 교수) 

A. AI 기술이 해킹에 악용될 경우 더욱 정교화되고 자동화된 사이버 공격도구 개발이 손쉽게 가능하게 되고, 지능화된 사이버 공격으로 발전될 가능성도 충분히 내재돼 있다. 이럴 경우에는 공격패턴 분석과 탐지, 대응이 더욱 어려워질 가능성도 매우 크다.

AI는 개인 맞춤형 피싱 이메일, 메시지, 웹사이트를 대량 생성해 공격 성공률을 높일 수 있고, AI가 방대한 양의 데이터를 분석해 시스템의 취약점을 빠르게 찾아내고, 이를 악용해 공격을 수행할 수도 있다. AI 기반 봇넷은 대규모 디도스 공격, 스팸 메일 발송 등에 악용될 수도 있겠다. 다음으로, AI 기반 딥페이크 기술은 음성, 영상 등을 조작해 신뢰성 있는 정보로 위조하고, 사회적 혼란을 야기할 수 있다. AI는 여러 단계의 공격을 조합해 방어 시스템을 우회하는 등 복잡하고 지능적인 공격을 수행할 수도 있다.

새로운 공격 유형도 등장할 수 있다. AI는 기존 백신 프로그램으로 탐지하기 어려운 새로운 형태의 악성 코드를 생성할 수도 있고 AI 시스템 자체의 취약점을 악용해 시스템을 오작동시킬 수 있다. 또한 AI는 인간의 심리를 분석해서 더욱 정교하고 효과적인 사회 공학 공격을 수행할 수도 있다.

A. AI 시대 도래와 함께 양자암호통신과 같은 첨단 보안기술 발전은 개인정보 보호에 긍정적인 영향을 미칠 것으로 기대된다. 실제로 양자암호통신은 이론적으로 해킹이 불가능하다고 알려져 있는데, 사이버 보안 관점에서 보면 큰 도움이 되는 것은 분명하다. 하지만 이 기술이 상용화되기까지는 여러 기술적, 경제적 문제로 시간이 필요하다. 양자암호기술의 발전이 개인정보보호에 중요한 역할을 할 수 있지만, 기술만으로 모든 문제를 해결할 수는 없다. 기술의 발전과 함께 법적 규제, 기업의 책임 의식, 개인의 보안 인식 개선, 사회적 합의 등 다각적인 노력이 병행되어야 개인정보를 더 안전하게 보호할 수 있다. 

A. 개인 정보 제공 시 어떤 정보가 수집되고 어떻게 활용되는지 꼼꼼히 확인하고, 불필요한 정보 제공은 거부할 권리를 행사해야 한다. 또 개인 정보 열람, 정정, 삭제 등 정보 주체로서의 권리를 적극적으로 행사할 수 있어야 한다. 딥페이크 기술, 개인 정보 침해 사례 등 최신 정보보안 트렌드도 꾸준하게 확인해야 한다.

기술적 보호 조치 노력도 해야한다. 백신, 방화벽 등 보안 소프트웨어를 설치하고 최신 버전으로 업데이트해 악성코드 감염 및 해킹 위험을 줄여야 한다. 강력한 비밀번호, 다중 인증을 활용해서 계정 보안을 강화해야 하는 것은 물론, 딥페이크 의심 영상이나 정보는 출처를 확인하고, 신뢰할 수 없는 정보는 사용하거나 공유하지 않아야 한다.

A. 현재 정부에서 이를 위해 다양한 정책을 마련하고 있습니다만, 다소 아쉬운 부분이 있는 것도 사실이다. 국가 사이버안보전략 수립으로 사이버 위협에 대한 국가 차원의 대응 전략을 수립하고, 사이버 공격 예방 및 대응체계를 강화해야 한다. 사이버 보안 인력 양성, 한국인터넷진흥원(KISA) 등을 통해 사이버 위협 정보를 수집·공유하고, AI 기술을 활용한 사이버 보안 기술 개발을 지원하는 정책이 필요하다. 새로운 사이버 위협에 대한 법적 대응 체계도 정비해야 한다.

AI 시대 사이버 보안을 위한 민관협력을 위해서는, 정부와 기업이 사이버 위협 정보를 실시간으로 공유하고, 공동 대응할 수 있는 플랫폼을 구축해야된다고 생각한다. 정부·기업·학계가 협력해 AI 기반 보안 기술 개발을 공동 추진하고 사이버 보안인력 양성 프로그램 및 캠페인도 확대해야 한다.

A. 애플과 마이크로소프트를 들 수 있을 것 같다. 애플은 'End-to-end' 암호화를 실행 중이다. 아이(i) 메시지, 페이스타임 등 자사 서비스에 종단 간 암호화 기술을 적용해 사용자 간 통신 내용을 보호하고, 이는 제3자가 메시지 내용을 열람할 수 없도록 하여 개인정보보호를 강화한다. 또한, 사용자 데이터 수집 시 'Differential Privacy' 기술을 적용해 개인식별정보를 제거하고, 통계 분석 목적으로만 활용하는 방침을 적용했다. 이를 통해 개인정보 유출 위험을 최소화하면서도 서비스 개선에 필요한 데이터를 확보하고 있다.

마이크로소프트는 모든 사용자와 기기를 신뢰하지 않는 'Zero Trust' 보안 모델을 채택해 사이버 공격에 대한 방어력을 높이고 있다. 이 모델은 다단계 인증, 접근 권한 관리, 위협 탐지 및 대응 시스템 등 다양한 보안 기술을 통합해 운영 중이다. 소프트웨어 개발 단계부터 보안을 고려하는 'Security Development Lifecycle(SDL)' 프로세스를 적용해 소프트웨어 취약점을 최소화하고, 보안 패치를 신속하게 제공하고 있다.

기사 링크: https://www.asiatime.co.kr/article/20240629500003#_enliple#_mobwcvr