내년의 주요 사이버 보안 및 개인정보 보호 동향을 예측할 때 지난 12개월간 발생했던 사건에서 많은 힌트를 얻을 수 있다. 익숙한 공격 유형 가운데 2018년에 주요 기업 시스템과 웹사이트에 대한 사이버 해킹이 지속되었고, 2019년 사이버 보안에서도 어김없이 등장하게 될 것으로 보인다.

전세계적으로 유명한 다수의 기업들이 올해 심각한 보안 침해 피해를 입었다. 마케팅 및 데이터 수집 기업 이그잭티스(Exactis)에서 약 3억4000만건의 개인정보 기록이 저장된 데이터베이스가 유출된 사례는 단일 데이터 유출 사고로는 가장 큰 규모일 것으로 보고 있다.

너무나 흔한 기업 공격 외에도 2018년에는 광범위한 표적과 피해자를 겨냥한 위협 활동이 가속화되었다. SNS 분야에서 페이스북은 해커들이 약 3천만명의 사용자 정보를 탈취한 것으로 추정하고 있다.

[source=pixabay]

정부의 지원을 받는 공격 집단은 기업 기밀에서부터 민감한 정부 및 인프라 시스템에 이르는 모든 것에 접근하기 위해 사이버 탐색(cyber probe)과 공격을 이용하고 있으며, 이러한 집단이 증가하고 있다. 개인 사용자 측면에서는 언더 아머(Under Armour)의 마이피트니스팔(MyFitnessPal) 건강 추적기의 계정 유출로 인해 1억5000만명의 개인 데이터가 탈취되었다.

그렇다면 내년 사이버 보안 분야에서 예상할 수 있는 것은 무엇일까? 2019년과 그 이후 기업, 정부 및 개인에 영향을 미치게 될 주요 동향과 활동을 알아보고자 한다.

◆공격자들은 인공지능(AI) 시스템을 익스플로잇하고 AI를 통해 공격을 지원할 것
오랫동안 고대했던 AI의 상업적 가능성이 최근 몇 년간 실현되기 시작했다. 이미 많은 비즈니스 운영 분야에서 AI 기반 시스템이 이용되고 있다.

이러한 AI 시스템은 수작업을 자동화하고 의사 결정 및 인간의 다른 활동을 개선하는데 도움을 주지만, 많은 AI 시스템에는 방대한 양의 데이터가 있기 때문에 유망한 공격 타깃으로 주목받고 있다.

또한 연구 인력들 사이에서 이러한 AI 시스템이 시스템의 로직을 손상시키고 운영에 영향을 미칠 수 있는 악성코드의 유입에 취약하다는 것에 대한 우려가 점차 높아지고 있다. 2019년에는 일부 AI 기술이 가진 취약성에 대한 우려가 커질 것이다.

중요한 AI 시스템이 공격 타깃이 되는 것은 20년 전 인터넷이 등장했던 당시 관찰됐던 일련의 사건을 답습하는 것을 의미할 것이다. 특히 당시 인터넷은 인터넷 기반 전자상거래의 폭발적인 증가 이후 빠른 속도로 사이버 범죄자와 해커의 관심을 끌었다.

공격자들은 AI 시스템만 겨냥하지 않을 것이다. AI 기술 자체의 힘을 빌려 공격 활동을 더욱 강화할 것이다. AI 기반의 자동화된 시스템은 네트워크와 시스템을 뒤져 아직 발견되지 않았지만 악용될만한 취약점이 있는지 찾을 수 있다.

또 AI는 목표로 삼은 개인 사용자를 속일 목적으로 실제와 매우 유사한 동영상과 오디오, 또는 잘 제작된 이메일을 만들어 피싱 및 다른 사회공학적 공격을 더욱 정교하게 만드는데 이용될 수 있다. 더불어 AI는 사실과 같이 보이는 허위정보 캠페인에 이용될 수 있다.

예를 들어, 한 기업의 CEO가 대규모 금융 손실, 심각한 보안 침해 또는 다른 중대한 소식을 발표하는 실제 있을법한 가짜 동영상을 AI가 만들어낼 수 있을 것이다. 이런 가짜 동영상이 대대적으로 퍼지면 진실이 알려지기 전 해당 기업에 큰 영향을 미칠 수 있다.

[source=symantec blog]

공격 툴킷이 온라인에서 판매되면서 공격자들이 새로운 위협을 상대적으로 쉽게 생성할 수 있게 되었다. 결국 하찮은 범죄자들도 정교한 표적 공격을 감행할 수 있게 하는 AI 기반 공격 툴이 나타날 것이다.

과거에는 고도로 개인화된 공격을 개발하는 작업이 노동 집약적이고 비용이 많이 들었는데, 이런 공격 개발을 자동화하는 툴과 함께 AI 기반의 툴킷을 이용하면 각각의 표적 공격을 추가로 개발하는 데 필요한 한계 비용을 본질적으로 제로로 만들 수 있다.

◆보호 프로그램 역시 반격·취약점 파악을 위해 점차 AI에 의존하게 될 것
AI와 관련해서 보안에 긍정적인 측면도 있다. 위협 식별 시스템은 이미 머신러닝 기법을 이용해 완전히 새로운 유형의 위협을 확인하고 있다. 또한 공격자들만이 AI 시스템을 이용해 공개된 취약점을 조사하는 것이 아니다. 보안 담당자들도 AI를 이용해 공격에 대한 방어체계를 더욱 굳건히 할 수 있다.

예를 들어 AI 기반 시스템은 반복적인 공격을 통해 취약점을 우연히 발견해 공격자에게 발견되기 전에 조치를 취할 수 있도록 일정 기간 동안 기업 네트워크에서 일련의 시뮬레이션 공격을 실시할 수 있다.

가정에서는 AI와 다른 기술들이 개인의 디지털 보안과 개인정보를 더욱 잘 보호할 수 있도록 도울 것이다. AI가 휴대폰에 내장되어 만약 특정 행동이 위험한 경우 사용자에게 이를 경고할 수 있을 것이다.

예를 들면 새로운 이메일 계정을 설정할 때 휴대폰은 자동으로 이중인증(two-factor authentication)을 설정하라고 경고할 수 있다. 시간이 지날수록 이러한 보안 기반 AI는 사람들이 애플리케이션을 이용하거나 다른 부수적인 혜택을 얻는 대가로 개인정보를 포기할 때 연관된 득실을 잘 이해할 수 있도록 도움을 줄 수 있다.

글 : 휴 톰슨(Hugh Thompson) / 수석 부사장겸 최고기술책임자(CTO) / 시만텍
스티브 트릴링(Steve Trilling) / 리서치 담당 수석 부사장 / 시만텍

저작권자 © IT비즈뉴스(ITBizNews) 무단전재 및 재배포 금지