인터넷, 스마트폰, 클라우드 컴퓨팅처럼 판도를 바꿀 잠재력이 있는 ChatGPT, GitHub CoPilot 등 생성형 AI 도구의 등장으로 기업에는 반드시 새로운 가능성과 도전 과제가 생길 것입니다. 빠르고 광범위한 AI의 발전으로, 이 기술을 책임감 있게 활용하는 동시에 사이버 범죄자의 AI 채택으로 미칠 잠재적인 영향에 대비하려는 사람들의 입장에서는 부담이 커졌습니다. AI는 코드를 작성하여 취약한 시스템을 파악하여 악용하고, 고도로 개인화된 피싱 이메일을 생성하며, 심지어 경영진의 목소리를 흉내내어 사기성 거래를 승인할 수 있으므로 조직에서는 AI와 관련된 위험 계산을 재평가하고 해킹에 대한 방어 및 공격 전략을 고려하는 것이 중요합니다.
다음은 AI 시대에 IT 및 보안을 담당하는 경영진이 사이버 보안 상태를 평가할 때 고려해야 하는 세 가지 주요 전략입니다.
어떤 이들은 AI에 대한 최악의 상황을 두려워하며, 모든 것을 알고 생각하는 기계가 "AI 군비 경쟁"에서 인류를 위협하는 슈퍼 무기가 되는 미래를 상상합니다. 이 설명은 다소 과장되어 있으며 AI의 실체는 그렇게 불길하지 않습니다.
악당들은 당연히 비도덕적인 목적으로 AI 도구를 사용할 것입니다. 하지만 기존의 AI 도구는 일반적으로 기본 코딩에만 제한되어 있으며, 실제 악성 코드 작성을 방지하기 위한 보안 장치가 마련되어 있습니다.
긍정적인 면을 살펴보면, AI는 숙련된 전문가가 부족한 사이버 보안 분야에서 특히 사이버 보안 방어 팀의 기술을 향상시키고 능력을 증가시킬 잠재력을 지니고 있습니다. AI 도구를 사용하면 신입 분석가는 일상 업무에 도움을 받을 수 있고, 보안 엔지니어는 코딩 및 스크립팅 역량이 증가하는 것을 경험할 수 있습니다.
성공의 열쇠는 모든 AI 위협에 일일이 대응하는 것이 아니라, AI 도구에 투자하고 전문 지식의 수준을 높이는 것입니다.
대부분의 사이버 공격은 이메일 수신함에서 시작됩니다. 악의적인 사람들은 사기성 이메일을 보내고 피싱 및 소셜 엔지니어링 전술을 활용하여 조직에 침입할 수 있는 자격 증명을 수집합니다. 최근 AI가 발전하면서 이러한 이메일이 점점 더 정교하고 현실적으로 보이게 되고, AI로 구동되는 챗봇이 소셜 엔지니어링 툴킷에 통합되어 이러한 공격 범위와 도달 범위가 넓어질 것입니다.
사이버 보안 전문가들은 AI로 구동되는 피싱 및 소셜 엔지니어링 공격의 잠재력을 인정하고, 사용자를 교육하여 이를 감지하고 대응할 수 있도록 해야 합니다. 피싱 공격을 식별할 수 있도록 사용자를 지속해서 교육하고, 의심스러운 활동을 빠르게 신고할 수 있는 플랫폼을 제공하며, 전반적인 사이버 방어 전략에 사용자가 관심을 갖도록 요청해야 합니다.
하지만 사람의 실수는 피할 수 없으므로 기술적 방어에도 의존하여 사용자를 반드시 해킹으로부터 보호해야 합니다. 안타깝지만, 주요 이메일 서비스에서 제공하는 기본적인 필터링 도구만으로는 부족할 때가 있습니다. 회사에서는 신뢰할 수 있는 발신자 또는 도메인을 포함한 다양한 벡터의 공격을 포괄적으로 차단할 수 있는 고급 이메일 보안 도구를 찾아내야 합니다.
피싱 및 자격 증명 수집이 모든 공격의 첫 단계인 경우가 많지만, 이들이 전부는 아닙니다. AI가 회사의 데이터와 애플리케이션에 미치는 위험을 고려할 때, 잠재적 공격의 다면적인 성격을 인식하는 것이 중요합니다.
조직에서는 기존의 성과 해자 경계로 네트워크를 보호하는 것을 넘어서서, 데이터의 위치 및 사용자와 애플리케이션이 데이터에 액세스하는 방식에 집중해야 합니다. 많은 회사에 있어서 이는 피싱 방지 멀티 팩터 인증(MFA)으로 강화된 Zero Trust 아키텍처와 보안 액세스 서비스 에지(SASE) 솔루션을 채택하는 것을 의미합니다.
인터넷에 연결된 애플리케이션과 API는 봇 또는 기타 AI 기반 공격 등 다양한 유형의 공격에 취약합니다. 이러한 앱은 암호화, 웹 애플리케이션 방화벽(WAF), 입력 유효성 검사, 레이트 리미팅 등의 적절한 보호 장치가 있어야 봇 또는 미래 AI 기반 공격을 완화할 수 있습니다.
기업에서는 AI 도구를 도입할 때 사용자가 회사 데이터를 오용하거나 유출하지 않도록 해야 합니다. JPMorgan Chase 등 일부 회사에서는 직원의 ChatGPT 사용을 제한하기로 결정했지만, 회사에서는 최소한 허용 가능한 사용 정책, 기술적 제어 장치, 데이터 손실 방지 조치를 채택하여 위험을 완화해야 합니다.
사이버 보안 전문가가 호기심을 갖고 실험해보면서 선한 목적과 악의적인 목적 모두에서 AI 도구의 잠재적 용도가 무엇일지 더 잘 이해하는 것이 중요합니다. 공격으로부터 보호하기 위해, 조직에서는 ChatGPT를 사용하거나 광범위한 교육 데이터에 액세스하고 다양한 방어 차원에서 위협 인텔리전스를 활용하는 사이버 보안 도구를 탐색 하면서 자체 역량을 강화하는 방법을 찾아야 합니다.
중요한 것은 기업에서 반드시 포괄적인 보안 조치를 구현하여 변화하는 세상에 맞춰 진화해야 한다는 것입니다. AI가 잠재적 위협으로 떠오르고 있지만, 안전하게 사용하는 방법만 알면 이 기술은 강력한 이점을 가져다줄 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
본래 Security Boulevard를 위해 작성된 기사입니다
이 글을 읽고 나면 다음을 이해할 수 있습니다.
사이버 범죄자의 AI 채택이 미칠 영향
방어 및 공격 전략을 모두 고려하여 AI에 대한 위험 계산을 평가하는 방법
AI 시대의 보안 상태 평가를 위한 3가지 주요 고려 사항