“인터넷 이후 인공지능(AI)만큼 디지털 세상을 뒤흔들 잠재력이 있는 기술은 없었다. AI는 사이버 공격의 파급력을 높이는 데 사용되는 동시에 사이버 공격에 대응하는 과정에서도 큰 역할을 한다. AI가 사이버 보안의 중요한 변곡점이 될 수 있다.”
마크 존스톤 구글 클라우드 아시아·태평양 지역 최고정보보호책임국(CISO) 총괄은 6월 20일 서울 중구 웨스틴조선서울에서 열린 ‘2024 사이버보안콘퍼런스’ 기조연설 직후 인터뷰에서 이같이 말했다. 존스턴 총괄은 지난 5년 동안 아시아에서 구글 클라우드의 보안 고객 엔지니어링 실무를 담당해 온 인물이다. 그는 금융, 정부, 통신, 교육 등의 산업에서 20년 이상 근무하며 길러 온 보안 분야 전문 지식과 위험 기반 접근 방식으로 구글의 사이버 보안 방안을 연구하고 있다.
조선비즈가 주최한 이번 행사는 ‘혼돈의 시대: 사이버 위협’을 주제로 진행됐으며, 존스톤 총괄은 ‘급변하는 사이버 보안 산업 환경, 구글의 시점에서’라는 주제로 강연했다.
IBM을 거쳐 2017년 구글에 합류한 존스톤 총괄은 구글 클라우드의 CISO에서 일하고 있다. CISO는 구글 클라우드 고객사의 디지털 전환(DX) 과정을 안전하고 성공적으로 이끌 수 있도록 지원하고, 클라우드 기술을 활용한 보안 혁신을 촉진하는 데 주력하는 부서다. AI 관련 위험 분석 및 규정 준수에서 유관 기관 간 견제와 균형을 이루는 데 도움과 자문을 제공하고 있다.
존스톤 총괄은 한국이 일본, 유럽, 미국과 함께 APT43 등 스파이 작전의 집중 대상 중 하나로, 전 세계적으로도 위협 수준이 높은 국가라고 진단했다. APT43은 북한 정찰총국과 연계된 해커 그룹으로, 국내에서는 ‘김수키’라는 이름으로 알려져 있다. 다음은 존스톤 총괄과 일문일답.
스파이 작전 등 사이버 공격에 어떻게 대응해야 할까.
“공격 방법에 따라 다르다. 구글 클라우드 산하 보안 기업 맨디언트는 APT(Advanced Persistent Threats), FIN(Financial), UNC (Unclassified) 등으로 위협을 구분해 대응하고 있다. APT는 특정 목표를 향해 장기간 지속적인 공격으로 정보를 유출하고 시스템을 파괴하는 그룹이며, FIN은 금전적 이익을 노리는 위협 그룹으로 북한의 많은 사이버 공격이 여기에 속한다. UNC는 ‘분류되지 않은’ 그룹이라는 의미로 APT, FIN 등의 기준으로 분류할 수 없는 위협 행위를 따로 묶은 것이다. 각 위협에 적절히 대응하기 위해서는 구체적인 방법론이 있어야 하는데, 특정 위협을 탐지할 수 있는 기술은 물론 해당 위협에 성공적으로 대응하기 위한 규칙과 규정을 마련해야 한다. 특히 통신 사업자나 주요 사회 기반 시설의 경우 사이버 공격을 당할 경우 국가 전체가 흔들리기 때문에, 공격에 대한 충분한 데이터를 사전에 수집해야 한다. 민간과 공공의 협력도 하나의 좋은 방안이 될 수 있다.”
한국 기업이 어떻게 사이버 방어력을 높일 수 있을까.
“한국을 포함한 아시아·태평양 지역은 사이버 보안 인력 부족 문제가 심각하기 때문에 AI를 적극 활용해야 한다. 구글의 경우 사이버 보안에 생성 AI를 적용한 ‘SecLM’이란 플랫폼이 있다. 구글 제미나이를 기반으로 운영되는 이 플랫폼을 통해 사이버 공격에 대한 사고 대응과 보고서 작성 업무 속도를 51% 높였다. 우리가 보유한 인재들이 보고서 관련 업무 대신 사이버 공격 대응에 더 많은 시간을 쓸 수 있게 된 것이다. 한국 기업도 사이버 보안 인재들이 SecLM 같은 AI 기술을 활용해 자신들의 역량을 높일 것을 제안한다. 사이버 보안에 AI를 활용하면 사이버 보안 인력의 역량을 높여줄 뿐만 아니라 사이버 공격에 대한 기업 대응력도 높일 수 있다. 이전에는 고급 인력들만 할 수 있었던 일을 AI가 담당할 수 있기 때문이다. 추가적인 투자를 통해 AI로 사이버 위협을 자동으로 탐지하는 능력도 개선해야 한다.”
2022년 기준 전 세계 사이버 공격을 받은 지역 가운데 아시아가 31%로 가장 큰 비중을 차지한 것으로 나타났다. 뒤이어 유럽(28%), 북미(25%)순이었다. 하지만 사이버 보안을 파악하는 데는 상대적으로 많은 시간이 소요됐다. 아시아에서는 전 세계 평균(16일)의 두 배에 달하는 33일 동안 공격이 탐지되지 않은 상태로 유지됐다.
기업 임원진의 인식 변화도 중요할 것 같다.
“사이버 공격으로 인해 기업이 입을 수 있는 잠재적 피해는 매우 크다. 무방비 상태로 사이버 공격에 당하면, 기업은 데이터 유출에 따른 벌금, 법적 비용, 고객 보상 등 금전적 피해를 보게 된다. 뿐만 아니라 기업 시스템 중단에 따른 피해, 기업 평판 손상 등 입게 되는 피해가 매우 크다. 역으로 말하면 사이버 보안에 투자해 얻는 것도 많다. 이사회와 임원진의 사이버 보안에 대한 지속적인 관심이 필요하다. 기업 자체적으로 인식 변화가일어나면 좋겠지만, 어려울 경우 정부 규제도 도움이 될 수 있다. 이미 세계 여러 국가에서는 기업 임원, 이사회 등에 사이버 보안 책임을 요구하는 규제가 마련된 상태다. 사이버 보안에 신경 쓸 시간과 자금이 부족한 기업에 정부 차원에서 위협 관리를 강조하면 전반적인 사이버 보안 생태계를 바꿀 수 있다. 구글도 기업의 사이버 위협 관리를 돕기 위한 가이드라인을 공개하고 있다. 이 가이드라인을 기반으로 자신들의 대응 능력을 평가하길 추천한다.”
사이버 보안 대응에서 복원도 중요할 것 같다.
“그렇다. 공격에 잘 대응하는 것만큼이나 복원력(resilience)을 갖는 게 중요하다. 사이버 복원력은 사이버 공격 발생 시 효과적 대응과 피해 최소화, 신속한 서비스·시스템·네트워크 정상화를 통한 운영 복귀에 초점을 맞춘 개념이다. 구글의 경우 2009년 ‘오로라 작전(Operation Aurora)’에 성공적으로 대응한 헤더 앳킨스(Heather Adkins) 보안 엔지니어링 부사장이 사이버 복원력에 대한 오피스를 따로 운영할 만큼, 복원력을 중요하게 생각하고 있다. 앳킨스 부사장은 사이버 공격뿐 아니라 자연적으로 발생할 수 있는 특정 재해에 대한 복원력을 구축하는 데도 집중하고 있다.”
고객의 복원력을 키워주기 위해 어떤 노력을 하고 있나.
“구글은 고객에게 복원력 있는 서비스를 제공하는 것을 목표로 하므로 글로벌 데이터센터 인프라 등에도 많은 투자를 하고 있다. 복원력을 위해 전체 시스템에 걸쳐 ‘제로 트러스트(zero trust)’ 원칙을 도입하고 있다. 모든 것을 의심한다는 개념의 ‘제로 트러스트’는 하나의 기술이라기보다는 시스템과 방법론이다. 엔드포인트(컴퓨터 네트워크에 연결되는 모든 장치), 시스템과 서버 등에 걸쳐 이뤄지는 액세스(접근)를 실시간으로 평가하고 있다. 사이버 공격의 대상이 되지만, 인터넷과 분리될 수 없는 각국 정부에 제로 트러스트 원칙이 도움 될 수 있다.”
AI가 확대 적용되면 인간은 무슨 역할을 해야 할까.
“AI는 다른 AI 시스템의 보안 및 효율성을 평가하는 역할을 수행하는데, 이에 대한 신뢰성과 안전성을 확보하기 위해서는 인간의 역할이 여전히 중요하다. 구글은 ‘레드팀’을 운영해 생성 AI가 공격받아 잘못된 출력을 하는 시나리오 등 다양한 공격에 대비하고 있다. 레드팀은 ‘버그 헌터(구글의 보안 허점을 발견하고 관련 정보를 제공하는 사람)’ 커뮤니티와도 긴밀히 협력해 AI 취약점 같은 사항을 업계와 공유하고 있다.”