[메클레터 4월호] 생성형 AI 시대의 클라우드 보안, 어떻게 지킬 수 있을까?
생성형 AI 시대의 클라우드 보안, 어떻게 지킬 수 있을까
사용자 위협과 섀도우 AI
생성형 AI의 고도화와 함께 많은 사람들이 전문적인 개발 지식이 없어도 높은 수준의 기술을 누릴 수 있게 되었습니다. 글쓰기와 디자인 같은 창의적 작업부터 고객 경험 강화, 업무 지원 등 생산성 향상의 영역까지 산업과 분야를 막론하고 우리의 일상에 스며들고 있습니다.
그러나 우리 일상에서 AI 활용도가 높아진 만큼 ‘사용자(임직원)’에 의한 보안 위협도 크게 증가했습니다. 모두들 섀도우 IT라는 말에 익숙하실 텐데요, 이는 조직 내에서 승인되지 않은 IT 리소스를 사용하는 것을 의미합니다. AI가 부상한 이후에는 ‘섀도우 AI’라는 말이 생겨났습니다. Chat GPT 출시 이후 다양한 버전의 생성형 AI 도구가 폭발적으로 증가했고 그에 따라 IT 부서 모르게, IT 관리자도 모르는 생성형 AI 도구를 사용하여 공격 표면이 증가할 위험성은 더욱 높아진 것이죠. 실제로 Gartner 조사에 따르면 2022년 직원의 41%가 IT 부서의 통제 범위를 벗어나 기술을 획득·수정 또는 생성했으며, 2027년에는 이 수치가 75%까지 높아질 전망이라고 합니다.
누구나 해커가 될 수 있다? 공격자 위협
누구나 손쉽게 전문가 수준의 창작물을 만들 수 있다는 생성형 AI의 장점은 악성 AI에 보안 취약성 코드만 주입하면 누구나 손쉽게 해킹을 할 수 있다는 치명적인 위협이 되기도 합니다. 생성형 AI를 활용하여 기존에는 소수의 전문 해커들만 시도할 수 있었던 공격에 대한 기술 허들이 낮아진 것입니다.
특히 웜GPT(Worm GPT)를 통한 보안 위협이 심각한 문제로 대두되고 있는데요, 공격자는 웜GPT에 해킹 매뉴얼, 악성코드 샘플 등을 학습시켜 악성코드를 손쉽게 생성하고 딥페이크, 피싱 이메일, 해킹, 디도스 공격 등을 할 수 있습니다. 실제로 다크웹에서는 웜GPT를 통한 해킹 방법 등의 게시글이 활발하게 공유되고 있으며, ChatGPT 발표 직후 1년 간 피싱 이메일 보안 위협이 1,265% 증가했다는 조사 결과도 있습니다.
생성형 AI 시대의 보안 전략
이처럼 AI를 악용한 사이버 위협이 날로 증가하는 가운데 기업 차원에서는 보안 취약점을 완화하기 위한 메커니즘을 도입하여 사고 위험을 최소화해야 합니다. 이때 앞서 말씀드린 사이버 위협의 유형에 따른 대응 시스템을 구축하는 것이 중요합니다.
먼저, ‘사용자 위협’에 대응하기 위해서 기업은 민감 데이터나 개인정보가 노출되지 않도록 적절한 보안 대책 표준을 수립해야 합니다. 여기에는 인증, 접근 제어, 암호화, 데이터보호 등에 관한 매뉴얼이 반드시 포함되어야 합니다. 동시에 정기적인 사용자(임직원) 대상의 교육을 실시하여 사회공학적 공격이나 이메일 피싱과 같은 APT 공격에 대비해야 합니다.
*APT(Advanced Persistent Threat): 특정 개인이나 조직을 대상으로 지속적이고 계획적인 해킹 시도를 통해 민감 데이터를 유출하는 형태의 공격
아울러 날로 정교해지는 AI 기반의 공격자 위협에 대응하기 위해서는 다음과 같은 두 가지 유형의 시스템을 구축하는 것이 필수적입니다.
- 다양한 위협과 취약점에 대응할 수 있는 데이터 수집∙분석 도구 구축: 서비스 워크로드에서 발생하는 네트워크 트래픽, 로그, 이벤트 등을 실시간으로 수집하고 분석하여 비정상적인 행동 패턴, 악성코드 및 악의적인 네트워크 트래픽 등의 이상 징후를 신속하게 탐지하고 대응할 수 있어야 합니다.
- 인프라 보안시스템 구축: 여러 경로를 통해 발생될 수 있는 위협에 대응하기 위해 방화벽, 침입 탐지 시스템, 암호화, 액세스 제어 및 모니터링 시스템 등의 구성을 통해 네트워크, 시스템, 데이터 및 사용자 영역에서 다양한 위협에 대응할 수 있어야 합니다.
📝기업 고객을 위한 보안 체크리스트
지금까지 살펴 본 생성형 AI 시대의 보안 위협 양상은 #공격 표면의 증가 #공격 기술의 지능화의 키워드로 정리해 볼 수 있을 것 같습니다. 기존에 없던 아주 새로운 유형의 보안 위협이 출현했다기보다는 기존의 보안 위협이 훨씬 광범위하고 치밀해졌음을 알 수 있죠.
이러한 위협하에 기업들은 우리 조직의 보안 취약점을 점검하고 이를 보완할 적절한 솔루션을 구축해야 합니다. 메가존클라우드에서 이를 간단하게 검토해볼 수 있는 보안 체크리스트를 준비했습니다. 총 7개의 문항으로 구성된 체크리스트를 다운받고, 우리 기업의 보안 취약성 정도를 확인해 보세요.
👉체크리스트 확인하기
보안 체크리스트에 대해 궁금한 점이나 점검 결과에 대한 추가적인 설명을 원하시면 메가존클라우드 Cloud Technology Center Cloud Security에 문의를 남겨 보세요.
*본 콘텐츠는 메가존클라우드 Cloud Technology Center Cloud Security Group 김진호 그룹장의 자문을 받아 작성하였습니다.