"AI 시대…해킹 대비 안하면 주가 떨어지고 큰 위기 닥쳐" [강경주의 IT카페]
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
[강경주의 IT카페] 121회
변상경 삼성SDS 보안기술실장 인터뷰
美 Fed·獨 지멘스서 보안 담당
"생성 AI 주도권 잡으려면 보안 투자해야"
변상경 삼성SDS 보안기술실장 인터뷰
美 Fed·獨 지멘스서 보안 담당
"생성 AI 주도권 잡으려면 보안 투자해야"
"생성 인공지능(AI)으로 해킹도 고도화될 겁니다. 보안 투자에 인색하면 큰 위기가 닥칠 수 있습니다."
변상경 삼성SDS 보안기술실장(상무)은 9일 한국경제신문과의 인터뷰에서 "보안이 이토록 큰 관심을 받은 적이 없다"며 놀라워했다. 생성 AI 시대를 앞두고 해킹 그룹의 지능적인 사이버 공격이 곳곳에서 탐지되고 있어 보안의 중요성이 커진 영향이다. 생성형 AI를 '양날의 검'이라며 표현한 그는 "해커와 보안팀 모두 AI를 이용하고 있다"며 "보안에 선제적인 투자가 이뤄지지 않으면 AI 시대의 '힘의 균형'이 해커 그룹으로 넘어갈 수 있다고 우려했다.
"보안에 돈 쓰기 싫다는 인식 가장 위험"
변 실장은 1998년 미국에서 네트워크 시스템 엔지니어로 일하면서 정보기술(IT) 업계에 발을 내디뎠다. 2000년대 초 미국 중앙은행(Fed)에서 5년 간 IT 보안 감사 업무를 하며 본격적으로 보안에 뛰어들었고, 딜로이트 컨설팅으로 자리를 옮겨 보안 담당 매니저로 6년 간 일했다. 변 실장은 "지멘스에서 정보보안 총괄을, 워너브러더스디스커버리미디어에서 글로벌 보안 및 컴프라인언스 총괄을 맡으며 큰 무대에서 다양한 보안 경험을 쌓았다"고 입을 열었다.삼성SDS가 미 연준과 글로벌 기업에서 보안 경력을 쌓은 그를 영입한 게 5년 전이다. 대한민국 IT 시장이 커지면서 국내 대기업이 글로벌 해커 그룹의 본격적인 먹잇감이 된 시기다. 해외에서 활동하던 그가 한국행을 결정한 이유는 보안으로 한국 사회에 기여하고 싶었기 때문이다.
변 실장은 "국내 대기업이 매출 규모에선 세계 최고 수준에 올랐지만 보안 인식이나 대비 상황은 과거에 머물러 있었다"며 "해킹이 얼마나 큰 피해를 가져오는지 알려야할 의무감을 느꼈다"고 전했다. 2019년 삼성SDS에 합류한 그는 정보보안전략팀장으로 일하다가 2022년 말부터 보안기술실장을 맡아 기획, 컨설팅, 솔루션, 관제 등 4개 분야를 아우르는 국내 최대 보안 조직을 이끌며 삼성그룹과 기업 고객 대상의 보안사업을 담당하고 있다.
글로벌 시장에서 쌓은 보안 노하우를 전하기 위해 한국에 왔지만 합류 초반 만난 한 고객사는 "보안에 큰 돈을 쓸 필요가 있느냐"며 사사건건 보안 투자에 제동을 걸었다. 변 실장은 경영진을 대상으로 보안에 대규모 투자가 왜 필요한지 설득하기 위해 보고서를 직접 만들고 발로 뛰며 알렸다. 대비를 안하면 회사가 글로벌 시장에서 쌓은 신뢰를 단 번에 잃을 수 있다고 호소했다.
변 실장은 "보안보다 해킹 보험에 가입하는 게 비용 지출을 줄일 수 있다고 말하는 사람도 있다"며 "기업 평판과 신뢰도 등 해킹 피해가 가져올 비재무적 요소는 보험으로 보상받을 수 없다"고 목소리를 높였다. 2014년 발생한 소니픽쳐스 해킹이 대표적이다. 당시 소니픽쳐스가 북한을 주제로 영화를 제작하자 북한으로 추정되는 해킹 그룹이 회사를 공격해 5억달러(6700억원) 가량 피해가 발생했다. 회사 시스템이 멈추고 개봉도 안한 영화가 유출되자 주가가 폭락하고 투자자들의 지갑이 닫혔다. 기업 이미지 실추를 눈으로 확인하자 미국 주식시장에 상장한 기업의 50% 이상이 긴급 이사회를 열고 부랴부랴 보안 회의를 열었다.
보안을 제대로 안하면 투자 시장에서 신뢰를 잃고 심지어 회사가 망할 수도 있다는 인식이 생긴 '하나의 사건'이었다. 변 실장은 "이를 계기로 전사적 위기관리 개념이 본격 확대됐다"며 "사이버 보안 사고를 재무 위기, 운영 위기, 자연 재해 정도의 위협으로 인식을 했고 주기적으로 이사회에서 보안임원을 불러 보안 수준과 성숙도, 대비 상황을 체크했다"고 회상했다.
"웜 GPT·사기GPT 우려…AI가 30분이면 악성코드 제작"
삼성SDS는 최근 IT, 제조, 금융, 운송, 회계 분야 등의 국내 대기업과 공공 부문 보안 전문가 700여 명의 설문 결과를 기반으로 올해 주목해야 할 5대 사이버 보안 위협을 선정했다. 삼성SDS가 선정한 5대 사이버 보안 위협은 △AI를 악용한 보안 위협 △하이브리드 환경에서의 클라우드 보안 위협 △개인·민감 정보 유출 △지속해서 진화하는 랜섬웨어 △공격 대상 확장에 따른 네트워크 보안 위협 등이다.변 실장은 해커가 '웜 GPT'(챗GPT의 다크웹 버전으로 생성형 AI 기반의 사이버 범죄 도구)와 '사기 GPT'(AI 기반의 피싱 도구) 등을 악용해 손쉽게 대량으로 악성코드를 제작하며 사이버 공격을 시도하는 것에 우려를 하고 있다. 그는 "과거 해커들이 보낸 이메일은 문장이 허술했지만 이제는 AI를 활용해 문법과 문맥을 넘어 문체까지 완벽히 따라한 글을 생성해 고퀄리티의 피싱 이메일을 만들고 있다"고 우려했다.
공격 시간이 대폭 단축된 점도 문제로 꼽힌다. 그는 "과거 악성코드를 만들어서 심는데 최소 5시간이 걸렸다면 이제는 10분 1 수준까지 공격 시간이 줄었다"며 "생성형 AI를 이용해 악성코드의 기본 형태가 다 세팅이 돼 있기 때문"이라고 부연했다.
삼성SDS는 생성 AI를 무기로 전사적 차원에서 위기관리 대응력을 대폭 강화했다. 학교 학습과 기업 업무, 재택 근무 활성화, 데이터 활용 급증, 클라우드 사용량 증가 등 악성코드가 침투할 수 있는 다양한 경로를 차단하기 위해 프리벤션(예방), 디텍션(발견, 탐지), 오토메이션(자동화)에 AI를 대입했다. 예를 들면 수많은 공격 중 치명적인 공격만 추려내 효과적으로 대응하는 방식에 AI를 사용한다.
공격의 형태에 따라 미리 계획을 세워놓은 대로 대응할 수 있는 '플레이북'도 GEN AI 챗봇으로 대응한다. 변 실장은 "가장 중요한 건 대외비나 인사-재무-투자 등 '민감 정보' 보호"라며 "삼성SDS는 GEN AI를 통해 '민감 정보'가 생성형 AI의 데이터 학습에 사용되지 못하도록 장치를 구축해놨다"고 했다.
고도화되는 공격에 정부도 2027년까지 정보보호산업 시장 규모를 30조원으로 키우기 위해 1조가 넘는 예산을 투입한다고 밝힌 상태다. 변 실장은 "정부의 보안에 대한 전향적인 접근에 큰 경의를 표한다"면서도 "여전히 해외와 비교하면 부족한 상황"이라고 덧붙였다.
일례로 JP모간은 해킹을 막기 위해 연 20조원이 넘는 금액을 보안에만 쏟아붓고 있다. 정부의 공공SW 대기업 참여 완화 검토에 대해서도 입장을 밝혔다. 변 실장은 "공공SW 보안도 중소기업이 할 수 있는 게 있고, 대기업할 수 있는 게 있다"며 "기업의 크기로 나눌 것이 아니라 특성으로 구분해서 다양한 해킹의 공격을 폭넓게 대응하는 지혜가 필요하다"고 제언했다.
대기업-협력사, 보안 시스템 연동 필요
산업 구분이 갈수록 모호해지고 초국가 기업이 생겨나면서 보안도 '사슬 개념(security chain)'이 부상하고 있다. 대기업 민감 정보에 접근하려는 해커 그룹의 공격이 대기업을 넘어 협력사로 확대될 수 있다는 설명이다. 변 실장은 "국내 전체 중소기업 중 50% 정도는 보안 예산을 따로 편성하기 어렵고, 'CISO(최고정보보호책임자) 의무지정제'를 지켜야 하는 자산총액 5000억 미만 규모의 중견기업도 보안에 무관심한 경우가 많다"고 짚었다.중소기업의 보안 역량을 상향 평준화 시켜야 대기업도 안전하다는 분석이다. 변 실장은 "글로벌 반도체 대기업은 보통 협력 관계를 맺고 있는 중소기업이 수천 곳인 데다 보안 방식도 제각각"이라며 "최근 해커 그룹은 협력사 중 보안 대비가 가장 허술한 곳을 집중 공략한 다음 역방식으로 상위 그룹에 접근하는 전술을 구사하고 있다"고 말했다.
협력사 보안이 뚫리면 대기업의 정보도 새어나갈 수 있는 얘기다. 중소기업 보안 표준을 통일해 일관된 보안 대응을 필수라고 재차 강조했다. 실제 수만 곳의 협력사와 공급망 생태계를 촘촘히 구성한 TSMC는 보안 시스템을 협력사와 표준화해 연동하고 있다.
글로벌 보안 시장에서 활동하던 그에게 한국에 오고 나서 가장 뿌듯했던 순간이 언제였는지 물었더니 "아무 일이 발생하지 않는 평상시의 순간"이라는 답변이 돌아왔다. 변 실장은 "보안 인력들은 보이지 않는 곳에서 고군분투하지만 드러나지 않는다"며 "이들을 사이버 상에서 굉장히 중요한 일을 하고 있다는 것을 국민과 고객사들이 알아주길 바란다"고 말했다.
잘 때 항상 전화를 머리 맡에 끼고 자고, 반복적으로 2~3시간 마다 일어나 경보 확인을 한다는 변 실장은 인터뷰 내내 보안에 대한 사회적 인식을 높여야한다고 강조했다. 그는 "보안 인력 대우하지 않는 국가는 생성형 AI 시대에 주도권을 절대로 쥘 수 없을 것"이라고 마무리했다. 강경주 기자 qurasoha@hankyung.com