러시아-우크라이나 전쟁이 장기전에 돌입하면서 지속되는 에너지와 식량 위기에 세계 경제는 물가 인플레이션으로 몸살을 앓고 있다. 이러한 위기에 해커는 어떤 모습을 하고 있을까? 사이버 세상에선 제아무리 악랄한 해커라도 매일 아침이면 삼시 세끼와 치솟는 기름값을 걱정하며 생활고를 겪고 있는 우리와 크게 다르지 않을 것이다.
한국인터넷진흥원(KISA)이 조사한 바에 따르면, 올 상반기 사이버 공격 신고 건수는 664건으로 전년 동기 대비 40% 이상 증가했다. 경기 침체 상황에서 상대적으로 보안이 취약한 중소기업에 더 많은 해킹을 시도하고, 대기업엔 더 높은 몸값을 요구해 생활고를 해결하려는 '생계형 해커'가 늘어났기 때문이다.
반면, 경기가 둔화하면 정보기술(IT) 서비스 기업 운영진은 비용 절감을 위해 보안 인력과 인프라에 대한 투자를 감축하기 시작한다. 해커가 보안이 허술해진 상황을 틈타 탐지가 어려운 신·변종 악성코드를 제작하거나 자동화된 공격 도구를 활용해 대규모 사이버 공격을 강행한다.
이러한 대혼란 상황에선 방어자가 사이버 위협을 적시에 대응하기 어렵다. 한정된 인력과 시간, 알려진 위협에 대해서만 패턴 기반으로 탐지가 가능한 기존 보안장비론 폭증하는 신·변종 위협 대응에 한계가 있다.
그렇다면 기업은 어떻게 이러한 상황을 극복할 수 있을까? 쏟아지는 대량의 위협 데이터를 실시간으로 분석하고, 빠르게 변화하는 신·변종 위협 패턴을 스스로 학습 가능한 인공지능(AI) 기술을 보안에 적용하는 것이 하나의 대응책이 될 수 있다.
하지만, 국내 기업 대다수가 보안 분야 AI 도입에 어려움을 호소한다. 주요 요인 중 하나가 바로 국내 IT 인프라 환경에 적합한 사이버보안 AI 데이터셋을 구하기 어렵다는 것이다. AI 모델은 풍부한 학습 데이터의 양과 품질에 의존성이 크지만, 민간에선 비용 부담과 전문 인력의 부족으로 사이버보안 AI 학습 데이터 획득에 갈증을 겪고 있다.
KISA는 이러한 어려움을 해소하기 위해 2021년부터 정부 차원의 사이버보안 AI데이터셋 구축을 추진해 오고 있다. 지금까지 악성코드, 침해사고 등 총 5개 분야에서 14억건의 데이터셋 구축을 완료했다. IT 서비스 기업에 데이터셋을 적용해 침해 대응 업무에 우수한 효과를 본 사례를 발굴해왔다. 대표적으로, 넥슨은 게임 서비스를 저해하는 핵툴(HackTool) 대응 업무에 투입되는 분석인력을 50% 이상 절감했다.
다만, AI는 양날의 검과도 같아서 방어자뿐만 아니라 해커에게도 매우 유용한 공격 도구가 될 수 있다. 예컨대, 얼마 전 발견된 생성형 AI 범죄 도구 '웜 GPT'는 해킹과 관련된 데이터를 집중적으로 학습해 피싱용 비즈니스 이메일을 작성하거나 악성코드를 개발할 수 있다.
아직은 방어자가 활용할 수 있는 학습 데이터가 더 많이 확보된 상황으로 공격자보다 훨씬 더 유리한 입장에 설 수 있다. 국민과 밀접한 분야에서 보안모델 사례를 만들고 실효성을 검증할 민간 기업의 관심과 참여가 꼭 필요하다. 나날이 진화하는 공격자에 맞서 방어자도 AI를 기반으로 한 대응 체계 구축이 절실한 시점이다. KISA가 개방한 AI 데이터셋이 경제난과 사이버 위협의 이중고에 지쳐있는 우리 기업에 가뭄 속 단비가 되길 간절히 바란다.
최광희 한국인터넷진흥원 사이버침해대응본부장 choikh@kisa.or.kr