국가 사이버보안 기관들로 구성된 파이브 아이즈(Five Eyes)가 AI를 활용해 보안 방어 체계를 우회하는 공격이 증가하고 있다며 기업 최고정보보호책임자(CSO)들에게 사이버 위험 전략을 전면 재검토할 것을 촉구했다. 다만 일부 전문가는 이번 권고가 지나치게 포괄적이어서 실질적인 도움이 되지 않는다고 비판했다.
미국 사이버보안 및 인프라 보안국(CISA), 영국 국가사이버보안센터(NCSC), 캐나다 사이버보안센터(CCCS), 호주 사이버보안센터, 뉴질랜드 사이버보안국 등 파이브 아이즈 소속 기관들은 22일 CISA “최첨단 AI 모델은 현재 업계의 예상을 뛰어넘어 공격과 방어 양측의 사이버 역량을 근본적으로 변화시킬 것으로 예상된다”라며 “그 변화의 시기는 수년이 아니라 수개월”이라고 경고했다.
이들 기관은 사이버 회복탄력성이 사업 연속성 확보와 시장 신뢰 유지, 장기적인 기업 가치 창출의 핵심 요소가 됐다고 강조했다.
또한 기업 경영진과 보안 책임자들에게 사이버 위험과 공격 대응 준비 상태를 평가하고 책임 체계를 명확히 하는 한편, 기본적인 보안 통제와 보안 관행을 우선시하고 보안 리더에게 충분한 권한과 자원을 부여해야 한다고 주문했다. 아울러 위협 환경과 대응 지침 변화에 지속적으로 대응할 것을 촉구했다.
캐나다 사이버보안센터는 이번 성명 발표 배경에 대해 “AI 도구가 취약점 탐지와 악용 속도를 높이는 데 활용되는 등 실제 변화가 나타나고 있기 때문”이라며 “이러한 역량이 더욱 쉽게 활용되면서 위험은 더 이상 이론적인 수준이 아니다”라고 설명했다.
이어 “변화의 속도가 조직이 즉시 행동해야 할 수준에 도달했다는 점을 분명히 보여주기 위한 것”이라며 “대응을 미룰수록 대응할 수 있는 시간은 줄어든다. AI는 이미 사이버 위험에 영향을 미치고 있으며, 핵심 비즈니스 위험 관리의 일부로 다뤄져야 한다”라고 밝혔다.
“기본을 제대로 갖춰야 한다”
파이브 아이즈는 성명에서 “성공의 열쇠는 기본을 제대로 지키고 신속하게 대응하며 사이버보안을 핵심 비즈니스 전략에 통합하는 데 있다”라며 “이를 실행하지 못하는 조직은 운영과 전략 측면에서 점점 더 큰 불이익에 직면하게 될 것”이라고 경고했다.
또한 사이버 위험은 더 이상 순수한 기술적 문제로 취급할 수 없다고 지적했다.
이들 기관은 “사이버 위험은 핵심 비즈니스 위험이자 경영진의 책임”이라며 “이사회와 경영진은 사이버 회복탄력성 체계가 구축돼 있고 실제 위기 상황에서도 제대로 작동하는지 확인해야 한다”라고 밝혔다.
이어 “보안 통제를 갖추는 것만으로는 충분하지 않다”라며 “경영진은 실제 사고 발생 시 해당 통제가 제대로 작동할 것이라는 확신을 가져야 한다. 이를 위해서는 오랫동안 유지돼 온 여러 우선순위와 절충안을 재검토하고, AI를 단순한 효율성 향상 수단이 아니라 방어 역량 강화를 위한 도구로 활용해야 한다”라고 설명했다.
파이브 아이즈는 경영진이 실천해야 할 세 가지 핵심 원칙으로 ▲시큐어 바이 디자인(Secure by Design)과 시큐어 바이 디폴트(Secure by Default)를 목표가 아닌 표준 IT 관행으로 정착시킬 것 ▲다계층 방어 체계를 구현할 것 ▲새로운 제로데이 취약점에 대비할 것을 제시했다.
또한 ▲공격 표면 축소 ▲패치 적용 가속화 ▲레거시 시스템 개선 ▲신원 및 접근 통제 강화 ▲사고 대응 계획 점검과 침해 확산 억제를 통한 보안 사고 대비 등 다섯 가지 실천 과제를 권고했다.
이들 기관은 “이 조치들이 새로운 것은 아니지만 기술적 위험뿐 아니라 운영·재무·평판 리스크를 줄이기 위해 지금은 그 어느 때보다 시급하다”라고 밝혔다.
아울러 정보보안 담당자들에게 AI를 활용해 기업의 방어 체계를 강화할 것도 주문했다.
“이미 늦은 대응”…전문가들 엇갈린 평가
하지만 일부 전문가들은 이번 권고가 실질적인 도움이 되지 않는다고 평가했다.
미국의 사이버보안·AI 자문가 조셉 스타인버그는 “당연한 사실을 나열한 일반론적 성명에 불과하며, 솔직히 AI 위험 대응에 대한 의미 있는 지침을 제공하지 못하고 있다”라고 비판했다.
그는 “기업이 이미 대응 계획을 수립하고 대책을 시행해야 할 AI 관련 위험 요소들이 충분히 다뤄지지 않았다”라며 “권고된 다섯 가지 실천 과제 가운데 네 가지는 AI를 언급조차 하지 않으며, AI 시대 이전부터 적용되던 내용”이라고 지적했다.
스타인버그는 성명에 AI가 사회공학 공격 방식을 어떻게 근본적으로 바꾸고 있는지, 정찰 활동 역량을 얼마나 확대하고 있는지에 대한 논의가 포함됐어야 한다고 주장했다. 또한 사회공학 공격에 특화된 대응 기법과 함께 생성형 AI가 기업 내부 정보를 유출할 수 있다는 점, 오염된 데이터를 학습한 AI가 잘못된 정보를 습득할 경우 이를 되돌리기 어렵다는 점도 설명했어야 한다고 말했다.
파이브 아이즈 성명이 지나치게 포괄적이라는 지적에 대해 미국 사이버보안 및 인프라 보안국(CISA) 대변인은 AI 데이터 보안, 시큐어 바이 디자인(Secure by Design) 원칙, 기타 관련 자료를 제공하는 기관의 AI 가이드 웹사이트를 참고하라고 답했다.
엔더리 그룹(Enderle Group)의 대표 롭 엔더리는 파이브 아이즈의 경고가 “매우 늦었다”라고 평가했다.
그는 이메일 인터뷰에서 “AI 기반 위협과 딥페이크는 이미 상당 기간 기업 환경에 큰 영향을 미쳐 왔다”라며 “비록 늦었지만 이번 권고는 현재 우리가 직면한 위협의 규모와 심각성에 부합하며, 변화된 환경을 따라잡으려는 기관들에게 필요한 기준선을 제시한다”라고 밝혔다.
엔더리는 “권고 내용 자체는 타당하지만 미래를 내다보는 로드맵이라기보다 강력한 경고에 가깝다”라며 “AI가 위협 환경 자체를 근본적으로 변화시키고 있으며, 기업은 더 이상 사이버보안을 독립된 기술 문제로 취급할 수 없다는 점을 분명히 보여준다”라고 설명했다.
이어 “지나치게 일반론적이라기보다는 기업이 당장 해결해야 할 운영상 취약점을 정확히 짚어내고 있다”라고 평가했다.
엔더리는 “이제 이는 CSO만의 논의가 아니다”라며 “위험을 효과적으로 관리하려면 CSO와 CIO, CEO가 모두 같은 방향을 공유하고 적극적으로 참여해야 한다”라고 말했다.
또 “AI는 운영 인프라부터 브랜드 신뢰, 기업 지배구조에 이르기까지 전반에 영향을 미친다”라며 “사이버 위험 전략은 최고 경영진이 직접 주도하는 핵심 사업 연속성 과제로 다뤄져야 한다”라고 설명했다.
미국 캐피톨 테크놀로지 대학교(Capitol Technology University) 사이버보안 실무·사이버법 겸임교수이자 이뮤니웹(ImmuniWeb) CEO인 일리아 콜로첸코는 “파이브 아이즈의 성명은 내용 자체는 타당하다”라면서도 “다만 2023년 말에 발표됐어야 했다”라고 평가했다.
그는 “현재는 AI를 악용하는 공격자보다 정식 AI 시스템을 무분별하게 도입하고 부주의하게 사용하는 것이 더 큰 위협”이라고 지적했다.
콜로첸코는 외부 공격 표면 축소와 같은 권고 사항은 여전히 중요하지만 현대적인 AI 위험과의 직접적인 관련성은 크지 않다고 말했다.
그는 “AI가 인터넷에 노출된 잘못 구성된 시스템이나 취약한 시스템을 더 빠르고 광범위하게 찾아내는 것은 사실”이라면서도 “이런 문제는 이미 10년 넘게 존재해 왔다”라고 설명했다.
이어 “LLM보다 더 저렴하고 효율적으로 취약점을 찾아낼 수 있는 비AI 도구가 수천 개나 무료로 제공되고 있다”라며 “이 영역에서는 AI 자체가 핵심 요소라고 보기 어렵다”라고 말했다.
콜로첸코는 가장 큰 위험이 조직 내부에서 비롯된다고 지적했다.
그는 “많은 기업 경영진이 뒤처질 것에 대한 두려움 때문에 CSO에게 알리지도 않은 채 다양한 AI 시스템을 성급하게 도입하고 있으며, 종합적인 위험 평가조차 수행하지 않는 경우가 많다”라고 말했다.
이어 “결국 AI는 수많은 새로운 공격 경로와 취약점을 만들어내며, AI를 사용하는 사이버 범죄자보다 더 큰 위험 요소가 될 수 있다”라고 경고했다.
또한 “2026년의 공격자들은 더 많은 제로데이 취약점을 필요로 하지 않을 수도 있다”라며 “대부분의 대기업에는 섀도 IT와 잘못 구성된 자산이 너무 많아 공격자가 클릭 한 번으로 핵심 정보를 내려받을 수 있는 경우가 적지 않다”라고 설명했다.
그는 “이제는 모든 정보를 탈취하는 데 제로데이나 AI를 활용한 더 빠른 공격 기법조차 필요하지 않은 상황”이라고 덧붙였다.
dl-ciokorea@foundryco.com
Read More from This Article: 파이브 아이즈 “AI 시대엔 사이버 위험도 경영 과제”…기업 리더 역할 확대 주문
Source: News