━

쿠팡사태 파문 확산…윤인수 KAIST 교수 진단





윤인수 KAIST 교수가 대전 본원에서 해킹 방지 시스템을 점검하고 있다. 김성태 객원기자



“인공지능(AI)의 급격한 발달로 공격과 방어의 균형이 무너지면서 해커들에게 유리한 환경이 조성됐습니다.”

최근 해킹 보안 사고가 잇따르는 데 대해 윤인수(35) KAIST 황금성슬롯 전기 및 전자공학부 교수는 “AI가 해킹에 이용되면서 사이버 보안 분야가 일종의 ‘과도기’를 맞았다”고 진단했다.
해커들이 AI를 적극 활용해 사이버 보안 체계를 전방위적으로 공격하는 사례가 늘면서 사회적 논란이 커지고 있다. 문제는 번번이 뚫리는 사이버 해킹을 막아낼 방법을 어떻게 찾아낼 것이냐다. 이에 대해 윤 교수는 “기술이 아무리 릴게임방법 발전해도 결국은 사람의 문제”라며 “기본적인 보안 원칙도 제대로 지키지 않는 사회 분위기부터 돌아봐야 할 시점”이라고 강조했다.
윤 교수는 세계 최대 해킹 월드컵인 ‘데프콘 CTF’에서 2015년과 2018년 두 차례나 우승한 화이트해커 출신으로, 조지아공대에서 박사 학위를 받은 뒤 2021년 31세의 나이에 KAIST 교수로 임용됐다 백경게임 . 이후 강단에 서면서도 사이버 보안의 최전선에서 활동해온 그는 지난 8월엔 미국 국방부 산하 국방고등연구계획국(DARPA)이 주최한 ‘AI 사이버 챌린지(AIxCC)’에서 우승을 차지하기도 했다. 현재 국가인공지능전략위원회 보안분과 자문위원도 맡고 있다.
Q : 해킹 보안 사고가 끊이질 않는다. A : “보안 사고는 항상 있었지만 최근 신천지릴게임 엔 통신·유통·금융 대기업과 정부 시스템까지 뚫렸다는 점에서 충격이 크다. 특히 누구나 매일 사용하는 민간·공공 부문 시스템은 축적된 개인 정보 규모도 막대하고 유출될 경우 또 다른 범죄에 악용될 수 있다는 점에서 불안감이 증폭될 수밖에 없다. 해킹 사고가 더 이상 개별 기업·기관의 문제가 아닌 이유다.”
Q : 완벽한 보안 체계가 작동 릴게임사이트 할 것으로 예상하던 곳들이라 파장도 컸다. A : “뚫리지 않는 방패는 없다. 어떤 보안 체계도 마찬가지다. 공격이 반복되면 결국엔 뚫리기 마련이다. 결국은 비용과 효율의 문제인데, AI 활용이 한결 쉬워지면서 해커들의 전략이 바뀌었다.”
Q : AI 보안 체계는 어느 수준까지 왔나. A : “지난 8월 미 정부가 주최한 AIxCC에서도 참가자들은 제작한 시스템을 제출한 뒤엔 손을 댈 수가 없었다. AI가 홀로 보안 취약점을 찾고 방어하며 스스로 보안 체계를 수정하는 수준까지 발전했기 때문이다. 이런 AI 보안 체계가 일상화되면 보안 체계 유지 비용이 줄면서 해커들이 유리한 국면도 종료될 것으로 예상된다. 다만 AI가 모든 걸 해결해줄 것이란 환상은 경계해야 한다. 해킹도, 보안도 결국은 사람이 하는 일이다.” 윤 교수는 그러면서 최근 발생한 ‘쿠팡 사태’를 언급했다. 그는 “한 사람의 이상 행동이나 무관심, 사소한 실수 등에서 비롯된 보안 사고를 예방하는 게 훨씬 어렵다는 걸 보여준 대표적 사례”라며 “보안 사고는 온·오프라인을 가리지 않는 만큼 AI뿐 아니라 인간 행동에 대한 대응 체계도 함께 강구해야 할 때”라고 지적했다.
Q : 쿠팡 사태가 특히 심각한 이유는. A : “대부분의 해킹은 이미 알려진 보안 취약점을 공략해 내부 서버로 침입하는 방식이다. 비슷한 시기에 터진 업비트 해킹 사고는 업비트 자체 취약점을 노린 방식으로 기술적으로도 상당히 발전된 해킹으로 보인다. 반면 쿠팡 사태는 내부자에 의해 발생했는데, 방어는 이게 훨씬 더 까다롭다.”
Q : 어째서인가. A : “보안 체계는 기본적으로 내부자에 대한 신뢰를 전제로 설계된다. 신뢰가 무너지면 모든 방어 체계가 무력화된다는 얘기다. 그렇다고 내부자를 의심하며 보안 체계를 설계하기란 쉽지 않은 일이다. 비용 부담도 크고 업무 효율성도 무시하기 어렵다. 하지만 쿠팡 정도의 대기업이라면 이에 대한 보안 체계는 마련돼 있어야 했고 실제로 작동됐어야 했다.”
Q : 해커들은 AI를 어떻게 활용하나. A : “해킹 프로그램의 코드 작성이나 사전 조사, 스캐닝(보안 취약점 등을 자동으로 탐색하는 해킹 행위) 등 번거로운 작업을 AI가 도맡아 하고 있다. 심지어 AI가 악성 코드를 스스로 수정하기도 한다. 핵심은 이로 인해 해커들이 해킹 시도를 늘려도 부담이 적어졌다는 점이다. 사이버 보안의 적정 수준은 해커가 해킹에 성공해 얻을 이익이 해킹 시도에 들어갈 비용이 넘지 못하는 수준에서 정해지는데, 해커들의 부담이 줄었으니 이 기준점을 높여야 하는 상황이 된 것이다.” 실제로 지난해 전 세계 AI 기반 스캐닝 시도는 시간당 무려 3만6000회에 달한다. 한국도 해킹 시도 증가세가 두드러진다. 국가정보자원관리원에 따르면 지난해 중앙부처 대상 해킹 시도는 16만1208건으로 1년 새 두 배 가까이 증가한 것으로 나타났다.
Q : AI를 해킹 방어에 활용할 방법은 없나. A : “아직은 제약이 많다. 특히 기업들은 내부 데이터 유출을 우려해 챗GPT나 클로드 등 상용 AI 서비스를 적극 활용하길 주저하는 경향이 강하다. 그러다 보니 보안 담당자들은 위험을 무릅쓰더라도 새로운 AI 보안 체계를 도입하자고 제안하길 꺼리는 게 현실이다. 상황이 더 심각해지기 전에 정부 차원에서 기준을 마련할 필요가 있다.”
Q : 계속되는 보안 사고를 막을 방안은. A : “무엇보다 기본적인 보안 원칙이 무너졌다는 점에 주목할 필요가 있다. 보안 사고를 은폐하거나 허술한 보안 체계를 한참 뒤에야 발견하는 등 원칙이 무너진 모습이 반복되는 게 더 심각한 문제다. AI뿐 아니라 어떤 보안 체계를 도입해도 이런 사회 분위기에선 더 큰 보안 사고가 발생할 수밖에 없다. 더 늦기 전에 민·관이 머리를 맞대고 보안 원칙은 반드시 지키도록 하는 제도적 장치부터 마련해야 할 때다.”
황건강 기자 hwang.kunkang@joongang.co.kr 기자 admin@gamemong.info