[기고] 사이버 회복력, AI 에이전트 시대 필수 요소
랜섬웨어 상품화가 사이버 범죄를 더욱 활성화하고 있다. 누구나 몇 백 달러만 있으면 다크웹에서 서비스형 랜섬웨어(RaaS)를 손쉽게 이용할 수 있는 시대가 열렸다. 전 세계 사이버 범죄로 인한 피해 규모는 이미 7조 달러를 넘어섰으며 앞으로도 지속적인 증가가 예상된다. 이는 사이버 위협이 여전히 심각하고 빠르게 진화하는 문제임을 보여준다. 최근 발표된 '클라우드플레어 시그널스 리포트(Cloudflare Signals Report)'에 따르면 지난해 클라우드플레어는 총 2천90만 건 넘는 디도스(DDoS) 공격을 차단한 것으로 나타났다. 이는 전년 대비 50% 증가한 수치다. 특히 아시아태평양(APAC) 지역 기업 절반이 데이터 유출 사고를 겪었으며 정부가 몸값(ransom) 지불을 권장하지 않았음에도 62%의 기업이 여전히 몸값을 지불한 것으로 나타났다. 이처럼 사이버 위협은 정교해지고 있으며 기존 보안 체계 대응 속도를 넘어섰다. AI 기술이 발전하면서 위협도 덩달아 진화하고 있다. AI 기반 공격과 공급망 취약점, 양자 컴퓨팅의 영향 등으로 올해 보안 리스크 지형은 그 어느 때보다 복잡하고 예측불가능해졌다. 이에 따라 보안 전략도 근본적인 변화를 요구받고 있다. 조직 전체가 '사이버 회복력'을 중심에 두고 대응 체계를 재편해야 할 시점이다. 그렇다면 기업이 사이버 회복력을 내재하기 위해 고려해야 할 핵심 요소는 무엇일까. 먼저 AI 기술 고도화는 공격자들에게 새로운 툴과 수단을 제공했다. 자동화된 봇을 이용한 크리덴셜 스터핑 공격부터 AI가 설계한 디도스 공격에 이르기까지 자동화된 공격은 규모와 정교함 모두에서 기존 방어 체계를 압도하고 있다. 실제 탈취된 자격 증명을 활용한 로그인 시도의 94%는 봇에 의해 수행되며 이들은 초당 수천 개 비밀번호를 테스트한다. 여기에 생성형 AI까지 더해지면서 위협은 한층 더 교묘해졌다. 범죄자들은 현실과 가상의 데이터를 결합해 신뢰성 높은 가짜 정체성을 만들어내고 기존 인증 시스템을 손쉽게 우회한다. 딥페이크와 자동화된 크리덴셜 스터핑 공격은 탐지를 어렵게 만들고 보안 인프라 허점을 더욱 집요하게 파고든다. 이처럼 AI로 고도화된 위협에 대응하려면 방어 체계 역시 AI 중심으로 재편돼야 한다. 특히 생성형 AI가 업무 흐름에 자연스럽게 통합되고 있는 요즘 같은 때일수록 조직은 AI로 강화된 위협 탐지와 자동화된 대응, 강력한 자격 증명 관리 체계 기반으로 한 전략적 방어를 구축해야 한다. 방대한 데이터를 실시간 분석하고 이상 징후를 조기에 식별할 수 있도록 보안 체계 전반에 AI를 내재화하는 것이 필수다. 오늘날 보안 환경에서 조직이 직면한 위험은 AI에만 국한되지 않는다. 조직 내부에서는 '섀도우 AI(Shadow AI)' 현상이 나타나고 있다. 이는 임직원이 보안 팀의 승인 없이 생성형 AI 툴을 사용하면서 기존 거버넌스 체계를 우회하는 현상으로, 컴플라이언스와 통제에 큰 도전을 야기한다. 지정학적 긴장도 사이버 공간으로 확산하고 있으며, 국가 주도의 사이버 공격이 증가하면서 산업 전반과 핵심 인프라에 심각한 위협을 주고 있다. 이런 상황에서 양자 내성 암호화(PQC)의 도입도 여전히 초기 단계에 머물러 있다. 지난해 3월 기준 HTTPS 트래픽 중 양자 내성 암호화가 적용된 비율은 3%에 불과했으나, 올해 3월에는 38%로 증가했다. 그럼에도 기업들의 대비는 여전히 더디다. 공급망은 여전히 사이버 보안의 가장 취약한 연결 고리로 작용하고 있다. 오늘날 기업은 수십에서 수백 개에 이르는 서드파티 스크립트에 의존하고 있다. 단 하나의 취약한 벤더만으로도 전체 시스템이 위협에 노출될 수 있다. 세계경제포럼에 따르면 대기업의 54%가 서드파티 리스크 관리를 사이버 회복력 확보의 가장 큰 과제로 지목했다. 새로운 리스크가 속속 등장하는 상황에서 제로 트러스트는 더 이상 선택이 아닌 필수 전략으로 자리 잡았다. 정적인 비밀번호나 기본적인 다중 인증(MFA)만으로는 세션 하이재킹과 피싱 기반 공격, MFA 우회 등의 정교한 공격을 막을 수 없다. 클라우드플레어 조사에 따르면 이미 88%의 조직이 제로 트러스트 솔루션에 투자했거나 투자할 계획을 수립한 것으로 나타났다. 하지만 실제로 이를 전사적으로 도입한 기업은 3분의 1에 불과해 실행 격차가 존재하는 것으로 확인됐다. 제로 트러스트 전략은 더 이상 단편적인 접근 제어나 원격 접속 보호에 머물러서는 안된다. 기업은 조직 전반에 걸쳐 정체성, 데이터, 트래픽 정책을 포괄하는 통합 보안 아키텍처를 구축해야 하며, 모든 사용자의 접근을 지속적이고 리스크 기반으로 평가하는 방식으로 전환해야 한다. 컴플라이언스는 더 이상 사후 대응이 아닌 사전 설계의 대상이 돼야 한다. APAC 전역에서는 규제 체계가 빠르게 정비되고 있다. 베트남의 디지털 기술산업법, 싱가포르의 모델 AI 거버넌스 프레임워크, 인도네시아의 개인정보보호법(PDP) 등은 기업이 보안을 운영의 핵심 요소로 삼도록 촉구하고 있다. 이처럼 AI 기반 위협, 복잡한 디지털 상호 의존성, 강화되는 규제 환경이 맞물리면서 사이버 보안은 더 이상 특정 부서의 책임이나 선택 사항이 아닌 기업 전반의 기본이 되고 있다. 이에 기업은 보안을 운영과 혁신, 성장의 중심에 둬야 한다. AI 기반 탐지 체계의 구축, 공급망 보안 강화, 양자 보안 체계 도입, 제로 트러스트 전략의 통합 실행을 통해 회복력을 내재화한 조직만이 복잡한 미래의 위협 환경에서 살아남고, 나아가 이를 선도할 수 있을 것이다.
