검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'강은성'통합검색 결과 입니다. (2건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[강은성 보안칼럼] 인공지능과 함께 살아가기-문해력, 질문, 판단

"일주일에 한두 번은 쓰는 것 같은데. 숙제 물어보고 물건 정보 같은 거 찾고."(초등학교 6학년 어린이) "강아지가 죽은 거 제가 속상하다고 말했는데 걔가 슬펐겠다고 말해줘 위로가 됐어요. 얘가 저의 기분에 맞춰서 얘기해 줘서. 친구처럼 얘기하는 것 같아요."(초등학교 6학년 어린이) "사람은 '어 그렇구나' 이 정도인데 얘만 이렇게 더 귀 기울여 주는 것 같아서 더 감동받고. 친구보다 더 친구 같았어요."(초등학교 6학년 어린이) 얼마 전 뉴스에서 본 세 어린이의 이야기가 인상적이었다. 첫 번째 어린이는 지식과 정보가 필요해서 AI 서비스를 이용했다. 검색 서비스를 이용하는 것보다 훨씬 편리하고 내 질문에 맞는 답변을 얻을 수 있다. 두 번째 어린이의 이야기는 AI와 정서적인 교감이 있다고 볼 수 있다. 기존 검색 서비스에서는 없던 경험이다. 세 번째 어린이는 좀 더 본질적으로 '인정 욕구' 또는 '존중 욕구'를 표현한다. 같은 뉴스에서 전문가는 이렇게 말한다. "답을 해줄 수 있는 대상에 대한 필요는 아동 청소년에게 매우 크고요. 의존이 생기면 부모의 이야기를 듣지 않고 친구들 얘기도 듣지 않을 가능성…"(김현수/명지병원 정신건강의학과 임상교수) 웹과 모바일 등 다양한 영역에서 10대 보안취약점을 발표해 세계적으로 잘 알려진 비영리재단 OWASP가 2023년 8월 거대 언어모델(LLM) 취약점에 관해 'OWASP Top 10 for LLM v1.0'을 발표했다. 이 자료를 읽으면서 9번째 취약점인 '과의존'(Overreliance)이 눈에 띄었다. 일반적으로 보안 취약점은 공격 대상 또는 이를 운용하는 체계에 존재하는데, 과의존은 이용자에 대한 것이어서다. 전화 사기, 문자 사기, 메신저 사기 등 온갖 피싱(Phishing) 공격을 통해 사람이 보안 취약점이 될 수 있음이 드러났지만, 이는 공격 대상이 사람이라는 점에서 과의존과 결이 다르다. 그럼에도 과의존이 10대 보안 취약점의 하나로 꼽힐 만큼 심각한 문제였다는 점은 눈여겨 볼 필요가 있다. (1년이 지난 2024년 11월에 발표된 OWASP Top 10 for LLM applications 2025에는 '잘못된 정보'(Misinformation)가 새로 생기고, 과의존은 이의 하위 요소로 포함됐다. LLM의 취약점이란 기준으로 볼 때 적절한 변화다.) 사실 우리는 지금도 정보를 찾을 때 검색엔진과 유튜브 영상에 많이 '의존'한다. 심지어 출처가 불분명한 SNS 글에 '의존'하기도 한다. 그러니 무엇을 물어봐도 나보다 훨씬 많은 정보와 지식을 가지고 '적절한' 또는 (근거가 부족하고, 심지어 틀린 내용까지 포함해) '그럴 듯한' 답변을 내 주는 AI 서비스에 어느 정도 의존하는 것은 낯선 풍경은 아니다. 하지만 그 의존이 과도할 때 문제가 된다. '과의존'은 과도한 신뢰, 심지어는 맹목적인 신뢰까지 나아갈 수 있다. 아예 사람의 판단 작용이 멈춰선 상태가 된다. LLM 생성 이미지 문제는 AI 주류인 LLM이 본질적으로 '사실'을 답변하는 것이 아니라, “학습한 데이터를 기반으로 주어진 문맥 뒤에 나올 확률적으로 가장 높은(그럴 듯한) 단어(토큰)를 예측”하는 모델이라는 점이다. 존재하지 않는 것을 '사실'처럼 그럴 듯하게 답변하는 '환각'이 발생하는 근본 원인이다. AI의 발달 속도는 엄청나다. ChatGPT가 2022년 11월 말에 처음 출시된 뒤, 텍스트 위주의 단순한 질문(입력)-답변(출력)에서 입·출력 자체를 이미지, 비디오 등 다양한 형태로 하는 네이티브 멀티모달, 생각의 사슬(Chain of Thought) 기반 추론, 스스로 판단과 결정을 내릴 수 있는 자율형 에이전트(에이전틱 AI), 사이버 세계에서 현실 세계로 들어온 로봇을 중심으로 한 피지컬 AI, 그리고 이 모든 것의 기반이 되는 반도체, 전력, 규제까지, 3년이 조금 넘는 짧은 시간에 현기증이 날 정도로 빠른 변화를 우리는 경험하고 있다. 개인적으로는 30대에 넷스케이프와 검색의 시대를 접하고, 40대에 유튜브를 통해 영상의 시대에 들어선 뒤, 50대에 알파고와 ChatGPT를 통해 AI 시대를 만났다. 직업 덕분에 '원주민'으로 산 시대도 있지만, '이민자'로서 새로운 시대에 적응하는 데 어려움을 겪기도 했다. AI 시대의 '이민자'로서 오랫동안 AI와 함께 살아가야 할 2030 청년들의 삶에 특히 눈길이 가는 이유다. AI와 함께 살아가는 데 꼭 필요한 역량은 무엇일지, 대학에서, 더 좁게는 맡은 과목에서 학생들에게 어떤 역량을 길러줄 수 있을지 고민하는 이유이기도 하다. 미국 노동부에서는 가장 기본적으로 'AI 문해력'(AI Literacy)을 꼽는다. 지난 2월에 발표한 '미국 노동부 AI 문해력 프레임워크'에서 'AI 문해력'을 “개인이 AI 기술을 책임 있게 활용하고 평가할 수 있도록 하는 기초 역량 집합”으로 정의하고, ▲AI 원리 이해 ▲AI 활용 사례 탐구 ▲AI에 대한 효과적인 지시 ▲AI 결과물 평가 ▲책임 있는 AI 활용을 AI 문해력의 5가지 기본 영역으로 제시하였다. 'AI 문해력 프레임워크'(미국 노동부)의 내용을 포함해 구글 제미나이로 생성한 이미지 문해력은 “글을 읽고 쓰는 능력”을 일컫는 말인데, 미국 노동부에서는 AI 문해력을 이보다 훨씬 넓은 의미로 정의하고, AI의 심대한 영향을 받을 현재의 노동자를 위한 교육·훈련프로그램 뿐 아니라 미래의 노동자를 배출하는 교육시스템에도 AI 문해력이 포함되어야 함을 강조한 것이다. 지난 겨울방학 동안 쌓인 공부거리를 해치우고 관련 자료를 정리하면서 잘 알려진 AI 서비스를 활용했다. 생각하지 못한 정보를 찾고, 대체적인 내용을 이해하는 데는 도움이 되지만, 구체적인 사실에 들어가면 오류가 적지 않아서 결국 참고문헌을 찾아서 확인할 수밖에 없었다. (참고문헌 인용이 틀린 경우도 가끔 있다.) AI 서비스가 많이 발전했지만, 아직 이용자의 역량이 AI 활용에 미치는 영향이 큰 것이 현실이다. 무엇보다도 이용자가 갖춰야 할 역량은 '질문 역량'(프롬프트 작성) 이다. 역량은 보통 “업무를 수행해 성과를 낼 수 있는 능력”으로 정의하는데, AI를 활용하는 업무 환경에서 질문 역량은 업무 수행의 핵심 역량이 된다. AI 문해력 프레임워크 중 'AI에 대한 효과적인 지시'에 필수적인 역량이다. 조직에서도 질문 역량은 매우 중요하다. 신입사원부터 고위 임원까지 누구에게나 필요하다. 특히, 고위직은 질문을 통해 정보를 얻을 수도 있지만, 조직의 목표를 만들기도 하고, 조직이 목표를 향해 나아가게 하기도 한다. 질문은 프레임을 만들기도 하고, 일의 방향을 바꾸기도 한다. 어떤 질문을 하느냐에 따라 답변이 완전히 달라진다. 질문이 세상을 바꾼다. 질문 역량은 '꼬리 질문'에도 해당한다. AI 서비스의 답변을 보고 꼬리 질문을 하게 되는데, 한 질문에 대한 꼬리 질문을 모아 '질문 꾸러미'를 만들어 보면, 질문에 따라 답변의 내용과 질이 어떻게 달라지는지, 그래서 질문 역량이 얼마나 중요한지 명확하게 알 수 있다. 또한, 질문 역량과 함께 중요한 것이 '판단 역량'이다. AI가 제공하는 수많은 '그럴 듯한' 정보에서 틀린 것, 근거가 없거나 희박한 것, 불필요한 것, 불합리한 것 등을 솎아내고, 꼬리 질문을 통해 내가 본래 얻고자 했던 것을 얻어낸다. 그러려면 AI의 답변을 분석하고, 비판적으로 이해하여 종합적으로 판단할 수 있어야 한다. AI는 답변에 책임지지 않는다. 책임질 수도 없고, 책임지도록 해서도 안된다. '그럴 듯한' 답변을 내는 것이 LLM의 본질이기 때문이다. 주요 AI 서비스의 대화창 아래에 조그만 글씨로 다음과 같이 써 있는 것을 발견할 수 있다. ChatGPT는 실수를 할 수 있습니다. 중요한 정보는 재차 확인하세요. Gemini는 AI이며 인물 등에 관한 정보 제공 시 실수를 할 수 있습니다. Claude는 AI이며 실수할 수 있습니다. 응답을 다시 한번 확인해 주세요. AI 서비스의 답변을 활용한다면, 그 결과에 대한 책임은 이용자에게 있다. 'AI 문해력 프레임워크'에서 'AI의 결과물 평가'와 '책임 있는 AI 활용'은 이용자판단 역량의 토대 위에 존재한다. 이용자가 윤리적 판단이나 가치 판단을 해야할 때도 있다. 이제 AI로 인한 거대한 변화 초입에 서 있다. AI 기술 발전의 방향과 속도, 수준이 어떨지, 인간이 AI를 어떻게 활용하고, 상호 작용 또는 상호 협력할지 아직 정립되어 있지 않은 상태다. AI에 관한 다양한 이슈가 제기되고 있는데, 그중에서도 우리 사회가 AI 활용의 개인적·사회적 기반을 튼튼히 하는 데 관심을 가져야 할 때가 아닌가 싶다.

2026.03.28 14:47강은성 컬럼니스트

[강은성 보안칼럼] 글로벌 사이버 위협, 2025년 회고와 2026년 전망

매년 11월부터 연말까지 다음 해 사이버 위협 전망에 대한 주요 기업과 기관의 보고서가 많이 나온다. 안랩, 이글루, 시만텍, 포티넷, 카스퍼스키 같은 국내·외 보안기업에서 주로 내지만, 구글, 마이크로소프트와 같은 보안 강자 IT기업, 가트너, IDC 같은 조사기관도 낸다. 많지 않지만, 영국 NCSC(National Cyber Security Centre)나 우리나라 한국인터넷진흥원 같은 정부기관에서도 발표하곤 한다. 2024년 주요 기업·기관에서 발표한 '2025년 사이버 위협 전망'을 종합하면, 40여 개 항목 중 AI 기반의 사이버 공격 등 AI에 관한 내용이 10건으로 가장 많았고, 랜섬웨어와 국가/핵티비즘이 각각 5건, 공급망에 관한 내용이 4건으로 뒤를 이었다. 2025년의 사이버 위협을 구체적인 침해사고를 통해서 살펴본다. 먼저 랜섬웨어 공격은 여전히 많이 발생했다. 이미 랜섬웨어 공격은 '가성비' 좋은 '범죄산업'으로 자리잡았다. 인도의 기술 대기업 타타테크놀로지(1월), 미국의 대형 신문사 리엔터프라이즈(Lee Enterprise)(2월), 영국의 세계적인 소매점 막스앤스펜서(M&S)와 고급 백화점 해로즈(Harrods), 일본의 대형 물류 제공업체 킨테츠월드익스프레스(KWE)(이상 4월), 영국 소매업체 코옵(Co-op)(5월), 영국 통신사 콜트테크놀로지, 프랑스 통신사 오렌지(이상 8월), 일본 아사히맥주, 미국 세계적인 항공서비스업체 콜린에어로스페이스(이상 9월), 미국 하버드대(10월), 워싱턴포스트(11월) 등이 랜섬웨어 공격으로 서비스 마비 또는 중단, 고객정보 유출 등 상당한 피해를 당했다. 돈이 모이는 가상자산은 늘 주요 공격 대상이다. 두바이에 본사를 둔 세계적인 가상자산거래소 바이비트(Bybit)에서 침해사고로 역대 가장 많은 14.6억 달러 규모(2조 원 이상)의 피해가 발생했고(2월), 개인정보 유출로 발생한 피싱 피해 보상 등 4억 달러 규모의 피해가 생긴 가상자산거래소 코인베이스 사건, 오픈소스 취약점으로 2.2억 달러 규모의 피해가 발생한 유동성 공급자 세터스(Cetus) 프로토콜 사건(이상 5월), 주요 탈중앙화 금융(DeFi) 프로토콜인 밸런서(Balancer)의 취약점으로 발생한 1.3억 달러 규모의 피해 사건(11월) 등이 있었다. 2025년 여러 '사이버 위협 전망'에서 강조됐던 'AI 기반 사이버 위협' 사례는 오픈AI(ChatGPT), 구글(Gemini), 엔트로픽(Claude) 등 주요 LLM 모델 개발사가 발간한 보고서에서 찾아볼 수 있다. 2024년 2월부터 관련 보고서를 발간한 오픈AI는 2025년 10월 발간한 'Disrupting malicious uses of AI: an update'에서 ChatGPT를 활용한 '바이브 코딩(vibe coding)'을 통해 악성코드를 개발, 개선하려는 러시아어 사용 계정을 차단하고, 피싱 공격을 준비하는 북한(한국어 사용) 계정 및 중국어 사용 계정을 차단하는 등 7개의 ChatGPT 악용 시도 차단 사례를 설명했다. 개발사들은 자신의 LLM이 악성코드 개발이나 피싱 컨텐츠 제작 등에 악용된 증거를 찾을 수 없다고 강조하고 있으나, 표적에 관한 정보 수집, 취약점 수집 등 LLM 개발사의 감시에 걸리지 않고 LLM을 악용하는 방안은 많아서 많든 적든 악성 행위에 LLM이 사용된다고 보는 것이 타당할 것이다. 공급망 공격으로는 400곳 이상이 피해를 본 MS SharePoint 제로데이취약점 공격(7월)을 대표적인 사례로 꼽을 수 있는데, 앞서 예를 든, 외부 전자지갑 서비스에 대한 침해를 통해 발생한 가상자산거래소 바이비트 해킹 사건, 랜섬웨어 공격으로 콜린에어로스페이스가 유럽 각국에 제공하는 항공서비스가 마비됨에 따라 런던과 베를린, 브뤼셀 등 주요 도시의 공항들이 큰 혼란을 겪은 사건, 하버드대와 워싱턴포스트 랜섬웨어 공격의 원인으로 밝혀진 오라클 E-Business Suite 제로데이취약점 문제 등에서도 공급망 공격의 광범위한 영향을 알 수 있다. 과학기술정보통신부에서 매년 펴내는 '2025 상반기 사이버위협동향 보고서'에 따르면, 2025년 상반기에 신고된 침해사고는 1034건으로 반기 기준으로 가장 많았다. 하지만 2025년에는 생활 밀착형 서비스에서 대형 침해사고가 여럿 발생해 일반 국민이 피부로 느끼는 불안은 숫자 이상으로 크지 않을까 싶다. 최대 이동통신사 해킹으로 유심(USIM) 정보 등 2700만 명의 고객정보 유출(4월), 랜섬웨어 공격으로 대형 온라인서점 서비스 마비(6월)와 시민의 필수 서비스인 보증보험 서비스 중단(7월), 프랙(Phrack) 보고서로 알려진 정부 업무망 및 이동통신사 해킹과 중요 정보 유출(8월), 해킹에 의한 카드사 297만 명 고객정보 유출, 이동통신장비 관리 및 인증 부실로 인한 이동통신사 무단 결제 및 고객정보 유출, 금융IT 외주업체 해킹을 통한 공급망 공격으로 20여 개 자산운용사 고객정보 유출(이상 9월), 인증시스템 관리 부실로 퇴직자에 의한 최대 온라인 쇼핑몰에서의 3370만 명 고객정보 유출(11월) 등 2025년은, 2014년 1월 카드사 개인정보 유출 사건 이후 침해사고가 중요 사회적 이슈로 떠오른 해로 기록될 것 같다. 8개 기업에서 발표한 2026년 사이버 위협 전망 40여 건을 분류해 보면, AI 관련 건이 17건, 국가 6건, 랜섬웨어와 공급망이 각 4건으로 그 뒤를 이었으며, 양자와 OT(Operational Technology)가 각 2건, 가상자산, 클라우드, 브라우저 등이 1건 씩으로 나타났다. 국가 배후 공격/사이버전, 랜섬웨어, 공급망, 가상자산 등 사이버 위협 전망이나 침해사고 유형에서 매년 빠지지 않는 분류가 여전히 포함되지만, 구글이 AI 영역(6개 항목)과 사이버 범죄 영역(4개 항목)으로 나눠 사이버 위협을 전망하고, 팔로알토는 아예 “AI 경제를 위한 6가지 예측”(6 Predictions for the AI Economy - 2026's New Rules of Cybersecurity)이라는 제목으로 다룰 정도로 AI의 비중이 커졌다는 점은 주목할 만하다. 대부분의 전망에서 공격자가 전면적으로/전방위적으로/공격의 모든 단계에서 AI를 사용할 것으로 예측하는데, 특히 사이버 범죄 에이전트를 통한 공격이 발생할 거라는 예측이 눈에 띈다(시만텍, 포티넷). 방어 측면에서는 에이전트 기반의 보안관제센터(Agentic SOC)가 구축돼 많은 로그의 연관성 분석, 난독화된 명령어의 해독, MITRE ATT&CK 프레임워크와의 매핑 등이 자동으로 이뤄져 침해사고대응팀이 수동적인 '분석' 업무에서 벗어나 보안 오케스트레이션 및 자동 대응 도구(SOAR: Security Orchestration, Automation, and Response)의 조치를 몇 분 안에 승인하는 등 '판단' 업무에 집중할 수 있게 될 거라는 반가운 (그러나 우리나라 일반 상황과는 좀 거리가 있어 보이는) 예측도 있다. 기업에 AI 에이전트가 확산하면 에이전트가 내부자 위협으로 떠오를 것이어서 에이전트에 대한 사용자 인증, 공격으로부터 에이전트를 보호하는 일이 기업 보안의 핵심 요소로 등장할 것이라는 전망도 있다(이상 구글, 팔로알토). AI라는 메가 트렌드에 가려 잘 보이지 않지만, 2026 전망에서 유의해서 봐야 할 내용 중 하나가 바로 '양자 컴퓨팅'에 관한 것이다(시만텍, 팔로알토). '선 수집, 후 복호화'(Harvest now, decrypt later, HNDL) 위협은, 지금 암호화된 데이터를 수집해 놓고, 양자 컴퓨터가 실용화되면 복호화한다는 것이다. 기술의 발전 속도를 예측하기란 쉽지 않지만, 대체로 2035년쯤에는 양자컴퓨터가 실용화될 것으로 보고 있어서, 각국에서 양자내성 암호(PQC: Post-Quantum Cryptography)체계로의 전환을 준비하고 있고, 우리나라 정부에서도 '범국가 양자내성 암호체계 전환 종합 추진 계획'(관계부처합동, 2025.9.)을 수립하고, 2035년까지는 현 공개키 기반(PKI)의 암호체계를 양자내성 암호체계로 전환하겠다고 밝혔다. '선 수집, 후 복호화' 위협에 대해 먼저 할 수 있는 대응은 현재 사용하는 암호체계와 대상을 파악하고, 대칭키 암호 알고리즘의 키 길이와 해시의 출력 길이를 늘리는 일이다. 양자 알고리즘을 통한 현 암호체계 공격에 대해 미국 표준기술연구소(NIST)에서 권고하는 방법이다. AES-128 대신에 AES-256(AES-256-GCM)을 사용하고, SHA-256 대신에 SHA-512를 사용하는 식이다. 공개키 기반 암호체계를 사용하는 TLS나 인증서는 양자내성 암호체계를 사용해야 하므로, 정부와 업계의 추진 현황을 살펴보면서 대응하면 된다. “사람이 보안의 핵심”이라는 시만텍의 전망 또한 귀 기울일 필요가 있다. 스캐터드 스파이더나 랩서스 등 랜섬웨어 갱단은 공격 대상에 대한 초기 접근 시 피싱, 내부자 포섭 등의 사회 공학을 통해 기업의 다중인증 체계를 통과했다. 많은 예산을 투입해 구축한 보안기술 체계가 제 역할을 하려면, 그것을 사용하는 구성원의 보안 인식 제고, 훈련, 더 나아가 보안 문화를 갖춰야 함을 보여준 사례다. 2025년 침해사고 사례와 여러 기업·기관에서 발간한 2025년 및 2026년 사이버 위협 전망을 통해 국내·외 사이버 위협의 흐름과 주목해야 할 점을 정리해 보았다. 보안 현황과 대책을 여러 각도에서 검토하고 준비하는 데 도움이 되면 좋겠다. 올 한 해 변함없이 기업·기관에서 보안을 담당하는 분들의 건승을 빈다. 큰 사고 없이 한 해가 지나가길 바라는 마음 간절하다.

2026.01.03 15:47강은성 컬럼니스트