[인터뷰] "AI만을 위한 보안책 없어…美 클라우드법 우려 해소 노력"
[라스베이거스(미국)=김미정 기자] "생성형 인공지능(AI) 시대 속 보안 분야는 새로운 도전을 맞이하고 있습니다. 아마존웹서비스(AWS)는 전통적 보안 체계를 유지하면서도 신기술로 AI 보안을 강화하고 있습니다. 한국을 포함한 해외 기업들의 클라우드법(Cloud Act)에 대한 우려를 완화하고, 물리·논리적 접근을 통한 데이터센터 보안 강화에도 총력을 다하고 있습니다." AWS 마크 라이랜드 아마존 보안 총괄 책임은 최근 기자와 만나 생성형 AI와 클라우드, 데이터센터 보안 전략을 이같이 밝혔다. 라이랜드 책임은 13년 동안 아마존에서 근무했다. 그동안 클라우드 제품을 비롯한 데이터센터, 데이터베이스(DB), AI 솔루션에 들어가는 보안을 총괄해 왔다. "AI만을 위한 보안 없다…전통·최신 기술 합쳐야" 마크 라이랜드 책임은 생성형 AI만을 위한 뾰족한 보안은 존재하지 않는다고 강조했다. 전통적인 보안 방식과 최신 보안 방식을 결합하는 게 최선이라고 주장했다. 그는 전통적인 보안으로 시스템 최소 접근 권한과 데이터 암호화, 기밀 컴퓨팅 등 기존 검증된 보안 조치가 생성형 AI 시스템에도 동일하게 적용돼야 한다고 말했다. 그는 "전통적 보안 운영 시스템은 AI 시스템에 내장된 자원을 보호하고 새로운 형태의 AI 오용을 방지할 수 있다"며 "이를 바탕으로 AI로 AI를 점검하는 상호 검증을 할 수 있어 AI의 잠재적 약점을 선제적으로 파악할 수 있다"고 설명했다. 라이랜드는 전통적 방식뿐 아니라 AI를 이용한 생성형 AI 보안에도 힘쓴다고 했다. 우선 AI로 생성된 이미지뿐 아니라 음성, 동영상에도 워터마크를 삽입하려는 방법을 연구 중이다. 이를 통해 AI가 생성한 결과물임을 시스템이 감지할 수 있도록 하기 위해서다. AI 솔루션 개발 과정에서는 AI를 이용해 제품 품질을 높이고 시스템 버그와 보안 취약점을 최소화하고 있다. AWS 레드팀이 AI 모델 배포 전후로 지속적인 공격 시도를 모의 실험함으로써 약점을 찾아내고 내·외부 전문가와 자동화 도구를 활용해 테스트를 확장하는 접근법도 이뤄지고 있다. 그는 "이같은 보안 조치는 아마존이 최근 출시한 '아마존 노바' 에도 적용됐다"고 덧붙였다. 라이랜드는 생성형 AI 보안을 100% 막을 방법은 아직 없다고 주장했다. AI가 공격·방어 양면에서 활용될 수 있기 때문이다. 다만 그는 AI를 통한 이점이 피해보다 더 많다고 했다. 그러면서 "현재로서는 AI를 통한 사이버 방어 능력을 강화하기 위하 막대한 투자가 필요하다"고 덧붙였다. 해외 기업 '클라우드 액트' 우려..."누구도 데이터 못 봐" AWS는 미국의 '클라우드법(Cloud Act)'으로 인한 해외 고객사 우려 해소에도 힘쓰고 있다. 클라우드법은 미국 정부가 법 집행 목적으로 미국 기업이 해외 서버에 보관 중인 데이터에 접근할 수 있도록 허용하는 법이다. 이를 통해 미국 정부는 해외 정부·기업에 데이터 접근을 요청할 수 있다. 한국을 비롯한 해외 기업들은 미국 클라우드법에 대해 우려를 표하고 있다. 이에 라이랜드 책임은 "한국을 비롯한 모든 국가·기업이 이런 이슈에 걱정하는 것을 알고 있다"며 "기술적·정책적으로 이런 우려는 있어선 안 된다"고 주장했다. 그는 미국 정부가 AWS 고객 데이터를 받더라도 이를 바로 활용하지 못한다고 밝혔다. AWS가 미국 정부에 암호화된 데이터를 제공할 수 있지만 이를 해독할 수 있는 기술은 미국 정부뿐 아니라 AWS 내부에도 없다는 이유에서다. 라이랜드 책임은 "AWS 클라우드는 고객 데이터 암호화·관리 아키텍처로 구성됐다"며 "미국 정부가 데이터를 받아도 이를 해독할 수 없는 이유"라고 강조했다. 라이랜드는 AWS가 6개월마다 투명성 보고서 발행을 통해서도 이슈 해결에 힘쓰고 있다고 말했다. AWS는 미국 정부가 요청한 외국 기업·정부 데이터 접근 요청 건수를 보고서로 공개한다. 현재까지 해당 요구 사례는 0건인 것으로 나타났다. 그는 클라우드법 문제를 정부 대 정부 차원의 외교적 영역이라는 점을 강조했다. 이에 라이랜드 책임은 "미국 정부가 외국 기업·정부 데이터 접근을 요구할 때 해당 국가에 직접 요청하도록 합의된 상태"라고 덧붙였다. 데이터센터 보안 강화…'가드듀티'에 AI 탑재 AWS는 데이터센터 보안 강화를 한층 업그레이드했다. 물리·논리적 접근을 분리하는 아키텍처 설계법과 AI를 통한 이상징후 탐지 기술을 활용하고 있다고 밝혔다. 라이랜드 총괄은 AWS가 데이터센터 설립 초기부터 고객 데이터 보호를 위한 '다단계 보안 체계'를 갖췄다고 설명했다. 그는 "데이터센터는 외곽 경비부터 게이트, 건물 가장자리, 내부 복도 진입 시 생체 인증을 거치는 물리적 접근 통제로 이뤄졌다"며 "데이터센터에 들어가는 과정 자체가 타사보다 철저하다"고 강조했다. AWS 데이터센터는 논리적 접근 방식도 핵심 요소로 꼽힌다. 우선 데이터센터에서 근무하는 운영 인력은 장비 운용에 필요한 접근 권한만 갖고 있다. 시스템 내 별도 소프트웨어(SW)나 서비스에 대한 논리적 접근 권한은 없다. 해당 인력은 데이터센터와 떨어진 사무실에서 근무한다. 이를 통해 단순 장비 위치나 형태만 알고는 고객 데이터를 특정하거나 불법 접근을 할 수 없다. 라이랜드 책임은 물리·논리적 접근뿐 아니라 AI를 활용한 이상행동 탐지·경보 기술 강화에도 힘썼다고 강조했다. 현재 AWS는 '가드듀티(GuardDuty)' 기술로 AI 기반 이상행동 탐지와 경보 기능을 업그레이드했다. 특히 비정상적 도메인 네임 시스템(DNS) 조회 패턴, 갑작스런 중앙처리장치(CPU) 사용량 변화, API 호출 위치 불일치 등을 가드듀티로 실시간 감지할 수 있다. 최근 AWS는 다양한 로그와 이벤트를 종합 분석할 수 있는 복합 모델까지 가드듀티에 넣었다. 예를 들어 DNS 이상행동 이후 일정 시간 간격으로 발생하는 API 호출, 클라우드트레인 로그 이상 등을 AI로 파악해 공격 패턴 여부를 판단한다. 그동안 전문가가 직접 분석해야 했던 요소였다. 라이랜드 책임은 "가드듀티는 경고를 '람다' 등 자동화 도구와 연계해 즉각적 대응을 하고 있다"며 "보안 전문가는 최종 경고 분석, 의사결정에만 집중하면 돼 효율적"이라고 강조했다.
