챗GPT의 여파인지, 인공지능이 RSA 현장에서 가장 뜨거운 주제가 되고 있다. 키노트에 이어 패널 토의에서까지 인공지능 이야기가 등장하고 있다. 다가오는 위협이 분명하기에 지금부터 대비를 해야 한다는 데에 보안 전문가들이 뜻을 모으고 있다.

[보안뉴스 문가용 기자] 기업과 정부 기관들이 인공지능이라는 기술을 보다 광범위하게 적용하기 시작했고, 그에 따라 새롭게 생겨나는 위험들을 다뤄야 할 필요가 생기고 있다. 이번 주 미국 샌프란시스코에서 열리고 있는 RSA 컨퍼런스에서도 이를 주제로 한 패널 토의가 이뤄졌다. 인공지능을 공격자들이 활용하기 시작할 때라든가, 인공지능에 내재된 각종 편향성 등 이를 어떻게 다뤄야 할지 전문가들이 만나 진지하게 이야기를 나눴다.


패널들은 “보안 전문가들은 인공지능이 야기할 수 있는 문제들을 각자가 소속된 조직 안에서도 다뤄야 하지만 정부 기관과의 협업을 통해, 그리고 산업 전체와의 공통된 노력을 통해서 계속해서 위험 요소들을 제거해가야 한다”는 데에 동의했다. FBI 사이버 부문 부국장인 브라이언 본드란(Bryan Vondran)은 “많은 기업과 기관들이 인공지능과 머신러닝을 앞 다투어 도입할 것”이라며 “그 과정에서 공격 통로가 크게 늘어날 것이 분명하다”고 경고했다. “인공지능 알고리즘은 물론 응용 프로그램을 개발하는 모든 과정에 공격자가 개입할 수 있고 실수가 발생할 수 있습니다. 우리도 모르는 사이에 인공지능의 강력함과 함께 각종 공격 가능성까지도 도입될 것이 뻔하다는 소리입니다.”

다만 그렇게까지 인공지능이 공격적으로 적용되기까지 시간이 조금 남아 있다는 게 희망적인 일이라고 본드란은 짚었다. 즉 아직 보안 업계가 나서서 안전 장치를 마련할 여지가 있다는 것이다. 칼립소에이아이(CalypsoAI)의 CEO인 네일 세레브리아니(Neil Serebryany)는 “보안 업계라는 커다란 공동체가 지금 대단히 독특하고 진귀한 시기를 맞이하고 있다”고 짚으며 “모두가 동의할 정도로 다가오는 위협이 분명히 존재하는데, 다행히 대처할 시간이 주어지기까지 한다는 건 매우 드문 일”이기 때문이란다. “미래를 안전히 만들어나갈 기회가 지금 우리에게 있다는 겁니다.”

그의 이러한 발언에는 패널 모두가 동의했다. 국가정보과학기술그룹장실(Office of the Director of National Intelligence Science and Technology Group)의 밥 로턴(Bob Lawton)은 “지금 인공지능을 맞닥트리고 있는 우리의 상황은, 80년대 인터넷이라는 신기술을 마주하고 있던 당시 과학 기술자들의 상황과 비슷하다”고 설명을 이어갔다. “미지의 기술이 가져다 줄 위험들에 대한 두려움을 가지고 대비해야 한다는 점에서 특히나 닮아 있죠. 지금 사이버 공간에서 벌어지는 일들을 1985년에 알고 있었다면 어땠을까요? 아마 지금 인터넷 공간의 모습은 사뭇 달랐을 겁니다. 인공지능도 비슷하게 흘러갈 거라고 봅니다. 다만 우리에게는 시간과 각종 사이버 위협에 대한 경험이 있기 때문에 80년대와는 양상이 전혀 달라질 수 있습니다.”

시간이 있다는 건 일단 인공지능을 활용한 사이버 공격의 수준이 아직까지 기초적이기 때문에 나오는 말이다. 아직은 대처할 만하고 막을 만하다. 마이터 코퍼레이션(MITRE Corporation)의 인공지능 전략 부문 관리자인 크리스티나 리아가티(Christina Liaghati)는 “그건 아직 공격자들이 인공지능을 필요한 부분에만 골라 써서 그렇다”고 경고한다. “공격의 효율을 많이 따지는 공격자들이 인공지능을 ‘과하게’ 사용하지 않는 것일 뿐, 인공지능을 사용한 악성 행위의 수준이 낮은 건 아니라는 것이죠. 인공지능 기술을 가지고 공격할 때 효율성이 높아진다는 것이 발견되는 순간 겉잡을 수 없는 일이 일어날 가능성이 높습니다.”

그러면사 리아가티는 “신기술이 등장할 때마다 공격자들은 비슷한 패턴을 보였다”고 짚었다. “처음에는 신기술을 통한 공격이 뜸합니다. 어쩌다 한두 공격자들이 실험하듯이 신기술을 공격에 응용해 봅니다. 유치하기까지 하죠. 그런데 어느 순간 꽤나 괜찮은 응용법이 등장하면 갑자기 봇물 터지듯 신기술을 활용한 보안 사고들이 일어납니다. 그 임계점이라는 게 존재하고, 아직 인공지능을 활용한 공격이라는 것이 그 임계점을 통과하지 못한 것 뿐입니다. 지금 공격자들은 굳이 인공지능까지 써야 할 정도로 치열하지 않은 겁니다. 우리가 기존 기술만으로도 너무 쉽게 뚤려주고 있거든요.”

그러므로 인공지능이 야기하는 각종 위협들을 가벼이 여겨서는 절대 안 된다고 리아가티는 경고했다. “인공지능 기술이 계속해서 발전하는 이상 특정 시점이 지나면 공격자들 모두가 숨 쉬듯 인공지능을 사용해 공격을 하기 시작할 겁니다. 그 ‘특정 시점’을 아무도 예측할 수 없어서 문제입니다. 언제가 됐든 반드시 일어날 일에 대비하는 건 너무나 당연한 일입니다.”

모두가 위험하다
리아가티는 “어떤 환경에서든 인공지능을 구축하는 순간 위험해진다”고까지 말한다. “거대한 테크 기업이 세계에서 가장 정교한 인공지능 알고리즘을 비싼 돈을 주고 구입해 구축하든, 무료 인공지능 알고리즘을 사용하든 마찬가지입니다. 왜냐하면 80년대의 인터넷을 마주한 우리가 그랬듯, 인공지능이 생성할 수많은 위험의 가능성을 우리가 아직 다 모르고 있기 때문입니다. 강력한 기술이지만 우리에겐 미지의 기술이기도 하고, 그 사실 하나만으로도 충분히 우리에겐 위험한 기술일 수 있습니다.”

사이버 보안 전문가들이 인공지능이라는 새로운 분야에 대한 지식과 경험을 충분히 쌓는 것부터 해야 새로운 위협들에 대처할 기본 바탕이 깔린다는 뜻이다. 단편적으로 그 때 그 때 발견되는 취약점을 파악하고 해결해 봐야 근본적인 도움이 되지는 않을 것이라고 패널들은 강조했다. 인공지능, 데이터 과학, 인공지능의 응용 분야에 대한 기초 지식을 착실하게 쌓는 것이 향후에 있을 위협들에 대한 진정한 대비책이라는 것이다.

세레브리아니는 “인공지능이라는 기술이 가져다 줄 위협은, 우리가 여태까지 알아왔던 전통적 의미의 ‘보안 위협’과는 완전히 다른 성질의 것이 될 거라고 예상한다”고 지적했다. “그러므로 해결에 대한 접근법도 완전히 달라질 것으로 예상하고 있습니다. 다만 그것이 미래에 있을 일이라 지금의 우리로서는 상상이 제대로 되지 않지요. 그렇기 때문에 더더욱 이 분야에 대해 알아두는 준비 과정이 필요하다고 봅니다.”

리아가티는 “그럼에도 우리가 지난 수십 년 동안 보안 업계에서 쌓아온 경험이 무용지물이 되지는 않을 것”이라고 강조한다. “결국 우리는 위험을 관리해 온 사람들입니다. 데이터, 네트워크, 애플리케이션을 전부 다뤄왔죠. 인공지능이라는 것도 결국 데이터, 네트워크, 애플리케이션의 형태로 우리에게 다가올 텐데, 그렇다면 우리의 경험이 분명 쓸모가 있을 거라는 뜻이 됩니다. 새 기술에 대한 공부도 중요하지만 우리가 할 줄 아는 것에 대한 자신감을 갖는 것도 중요하다고 봅니다.”

3줄 요약
1. RSA 현장을 뜨겁게 달구고 있는 주제는 단연 인공지능.
2. 인공지능이 가져다 줄 위험의 핵심은 우리가 아직 이 기술을 다 이해하고 있지 못하다는 것.
3. 그러므로 인공지능에 대한 보안 전문가들의 지식 쌓기가 반드시 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>