mobile background

자료실

2024년 사이버보안 전망 10가지 – 1부


Quick Overview 

오늘날 IT 생태계는 복잡성이 증가하고 경제적 어려움에 직면해 있습니다. 2024년의 트렌드와 전망을 이해하는 것은 기업이 안정적으로 성장하고 보안을 유지하는 데 도움이 되는 중요한 요소입니다. 여기서는 퀘스트의 여러 전문가가 바라보는 사이버보안 전망 10가지 중 4가지를 살펴봅니다.


필자는 매년 퀘스트의 유능한 동료들과 함께 다음 해의 중요한 트렌드에 대한 브레인스톰 시간을 갖습니다. 당연한 이야기지만 이번에는 AI/ML을 중심으로 한 예측이 많았습니다. 변화가 빠르면서 중요하기도 한 이 영역에서 어느 부분이 과장이고 현실인지에 대한 퀘스트 전문가들의 생각을 이 글을 통해 전합니다.  

 

주요 IT 트렌드를 이끄는 사안은 AI뿐만이 아닙니다. 현재 하이브리드 IT 생태계를 관리하고 보호하기 위한 복잡성이 높아지는 중이고, 전 세계적인 경제 불황과 IT 인력 부족으로 인해 이에 대처하기도 더욱 어려워지고 있습니다. 이와 같은 여러 요인이 복합적으로 작용하면서 기업 조직은 효율적, 경제적으로 사이버 회복탄력성을 강화할 수 있는 효과적인 통합 솔루션을 추구하고 있습니다.  

 

이에 대해 가트너는 “보안의 복잡성이 높아지면서 보안 실무자는 어느 부분에 초점을 두어야 할지 결정하는 데 어려움을 겪고 있다. 위협의 양과 그에 따른 혼란이 늘어나면서 가장 심각한 위험과 노출을 식별하고 우선순위화하는 데 도움이 되는 보안 솔루션에 대한 관심이 증가하고 있다”라고 전했습니다(Gartner, “새로운 기술: 보안 – 노출 관리를 지원하는 공격 표면 관리의 미래(Emerging Tech: Security — The Future of Attack Surface Management Supports Exposure Management)”, 루게로 콘투, 엘리자베스 킴, 조나단 누네즈, 2023년 4월 19일. ID G00775089) 

 


이제 퀘스트 전문가들이 예상하는 2024년 트렌드에 대해 자세히 살펴봅시다. 

 


1. 사이버 공격자가 AI 전쟁에서 앞서 나가겠지만, 현실은 언론 보도만큼 나쁘지는 않습니다. 

일반적으로 자동화, 특히 AI/ML은 사이버보안의 공격과 방어에서 모두 큰 역할을 담당합니다. 공격자들이 AI를 어떻게 악용하는지, 그리고 2024년 위협 환경에서 이것이 무엇을 의미하는지부터 살펴보겠습니다. 


퀘스트의 전략 시스템 컨설턴트인 매튜 빈튼은 AI/ML의 발전으로 인해 일반 대중이 정교하고 강력한 공격을 훨씬 더 쉽게 이용할 수 있게 되었다는 점을 지적합니다. 특히 2022년 11월 오픈AI(OpenAI)가 대규모 언어 모델(Large Language Model, LLM) 기술을 기반으로 한 무료 챗봇인 챗GPT(ChatGPT)를 출시하면서 위협 환경이 크게 바뀌었습니다. 챗GTP의 등록 사용자 수는 5일 만에 100만 명을 돌파했습니다. 이후 구글의 바드(Bard)부터 오픈소스인 웜GPT(WormGPT), 그리고 일론 머스크가 “반항적 기질”을 가질 것이라고 말한 xAI의 그록(Grok)에 이르기까지 새로운 LLM이 줄지어 등장하고 있습니다. 이런 툴은 무엇보다 빠르게 정보를 수집하고 텍스트를 생성할 수 있게 해준다는 측면에서 사이버 공격자에게 상당한 도움이 됩니다. 실제로 여러 연구에 따르면 LLM은 “매우 설득력 있는” 피싱 이메일을 작성하는 데 걸리는 시간을 며칠에서 단 몇 분으로 줄여줍니다. 

 

그럴듯한 피싱 이메일을 쏟아내는 것 말고도 공격자가 AI를 악용하는 방법은 많습니다. 예를 들어 LLM은 이제 단순히 텍스트를 반환하는 수준을 넘어 API를 요청하고 검색을 실행하고 생성된 코드를 실행할 수도 있습니다. 소프트웨어 보안 개선을 추진하는 비영리 재단인 오픈 월드와이드 애플리케이션 보안 프로젝트(OWASP)는 LLM의 43가지 위협을 브레인스토밍했는데, 여기서 추린 LLM의 10대 취약점에는 프롬프트 주입, 데이터 유출, 학습 데이터 오염, 불충분한 샌드박싱, 무단 코드 실행 등이 포함됩니다. 공격자는 이러한 취약점을 악용하여 데이터 유출, 원격 코드 실행, 권한 승격, 서비스 중단과 같은 다양한 목표를 달성할 수 있습니다. 


따라서 AI 기술이 광범위한 악의적 행위자에게 점점 더 강력한 무기가 될 것은 분명합니다. 하지만 절망에 빠져 포기하기 전에 퀘스트의 특별 엔지니어이자 AI 보안 에반젤리스트인 마이크 윌슨의 의견도 들어보십시오. 윌슨은 2024년과 그 이후 몇 년 동안 공격자들이 AI 사용 측면에서 우위를 점할 가능성이 높다고 인정합니다. 예를 들어, 대형 랜섬웨어 조직은 AI 기술을 적극적으로 활용하여 더 높은 성공률로 더 대대적인 공격에 착수할 것입니다. 


그러나 윌슨은 이런 상황이 AI가 악의적 충동을 가진 모든 사람을 강력한 사이버 범죄자로 만들어줄 것이라는 과장된 이야기와는 거리가 멀다고 설명합니다. 사실 AI를 효과적으로 사용하려면 상당한 기술적 능력이 필요합니다. 예를 들어 누군가가 챗GPT를 이용해서 피해자의 디바이스에 맬웨어를 설치하도록 설계된 클릭 가능한 이메일을 보내는 C# 프로그램을 작성한다고 가정해 보겠습니다. 공격 표적 회사의 방어 체계는 이 해킹을 쉽게 탐지하고 차단할 것입니다. 현대적 방어 체계를 실제로 통과할 수 있는 무언가를 만들려면 공격자는 소프트웨어 엔지니어링, 비즈니스 애플리케이션과 그 취약점, 사이버보안 툴 및 기법을 매우 심층적으로 이해하고 있어야 합니다. 따라서 적어도 2024년 동안 기술적 전문성의 부족은 해커가 되고자 하는 이들에게 여전히 큰 장벽이 될 것입니다. 

 


2. 방어를 위한 AI 도입이 진행되겠지만 속도는 느릴 것입니다. 

이제 방어자가 2024년에 AI를 사용해 사이버보안을 어떻게 개선할지를 살펴봅시다. AI가 기업 리더의 관심사가 될 것은 분명합니다. 사이버보안 부문의 관계자를 대상으로 한 설문조사에서 응답자의 98%는 AI 기술이 야기하는 보안 위험에 대해 최소한 어느정도는 우려한다고 답했습니다. 그렇다면 기업은 이런 상황에 적응해서 방어를 어떻게 개선할까요? 

 

CISSP(Certified Information System Security Professional)이자 퀘스트의 수석 솔루션 컨설턴트인 브라이언 패튼은 선제적 위함 완화와 실시간 위협 탐지 및 대응, 2가지 모두에 초점을 맞춰야 한다고 설명합니다. 사이버보안 인력의 부족이 지속되는 가운데(인력 문제에 대해서는 잠시 후에 자세히 다룹니다), 기업은 다음을 포함한 중요한 작업을 간소화하고 자동화하는 손쉬운 방법을 찾게 될 것입니다. 

 

  • 악의적 행위자가 악용할 수 있는 시스템 및 애플리케이션의 잘못된 구성을 파악하고 수정하는 데 도움을 제공할 수 있는 툴 

  • AD(Active Directory) 공격 경로(일반 사용자 계정을 탈취한 공격자가 몇 단계만으로 IT 환경 전체를 장악할 수 있게 해주는 악용 가능한 권한 및 동작의 연쇄 고리)와 이런 공격 경로를 차단하기 위한 주요 관문을 파악하는 솔루션 

  • 로그를 분석하고 실제 위협을 식별하고 오탐지를 줄임으로써 사고 탐지 및 대응 속도를 높여주는 툴 

 


또한 생성형 AI 딥페이크 기술 이용이 증가함에 따라 기업은 인증 및 권한 부여 방식을 강화할 방법도 모색할 것입니다. 예를 들어, 소프트웨어 개발 업체 리툴(Retool)을 표적으로 한 최근의 사이버 공격에서 공격자는 AI를 사용하여 IT 팀원의 목소리를 위조해 MFA(Multi-factor Authentication) 코드를 획득하는 데 성공했습니다. 이런 공격을 차단하려면 제로 트러스트 보안 모델을 더욱 강화해야 합니다. 핵심 자산, 즉 티어 제로 자산을 철저히 파악하고 이러한 자산에 대한 모든 인증, 액세스 및 변경을 사전에 면밀히 검토해야 합니다. 

 


3. AI는 IT 인력 부족에 대한 만병통치약이 되지 못합니다. 

기억하실지 모르겠지만 IT 인력 부족 극복은 퀘스트의 2022년 전망에서 핵심적인 주제였습니다. 당시 기술 공백을 악화시키는 3가지 주 요인으로 IT 인력 부족과, 대규모 퇴사(Great Resignation), 대규모 저항(Great Resistance)을 언급했습니다. 

 

퀘스트는 이런 현실에 따라 기업이 클라우드와 자동화된 서드파티 솔루션으로 전환하게 될 것으로 예측했고, 실제로 이런 전략은 IT 관리의 부담을 더는 데 도움이 되었습니다. 그러나 퀘스트의 솔루션 설계자인 브라이언 하이머가 지적하듯 IT 인력 부족은 많은 비용을 초래할 수 있는 어렵고 장기적인 문제임이 드러나고 있습니다. 예를 들어, 사이버보안 전문 지식이 부족할 경우 핵심 애플리케이션 및 인프라 구성요소가 잘못 구성될 수 있습니다. 단 하나의 잘못된 구성으로 인해 심각한 침해의 문이 열려 장기간의 가동 중단과 매출 손실, 많은 비용이 드는 포렌식 및 복구 작업, 규정 미준수에 따른 엄격한 처벌, 장기간 지속되는 브랜드 손상 등 막대한 비용을 초래하는 결과가 발생할 수 있습니다. 

 

AI에 기대서 단기간에 보안 툴을 강화하겠다는 생각은 헛된 꿈입니다. 일부 기업은 DYI 방식을 선택해서, 더 효과적으로 환경을 관리하고 보호하기 위한 파워셸 스크립트와 KQL 쿼리를 생성하는 데 AI를 사용하고 있습니다. 그러나 AI가 해커가 되기를 바라는 모든 사람을 실제 해커로 만들어 주지 못하는 것과 똑같은 이유로 이 전략의 가치에는 한계가 있습니다.  

 

즉, AI를 효과적으로 사용하기 위해서는 기반이 되는 전문 지식이 필요합니다. 파워셸 스크립트를 쏟아낸다 해도 IT 관리자에게 스크립트를 이해하고 문제를 해결할 전문 지식이 없다면 별 도움이 되지 않습니다. 실제로 사이버보안을 강화하는 만큼 환경에 취약점이 유입될 가능성도 높습니다. 


간단히 말해 IT 환경에 사용되는 기술에 대한 근본적인 이해를 갖춘 IT 전문가를 AI가 대체할 수는 없습니다. 따라서 기업은 가능한 부분에서 신규 사이버보안 인력을 계속해서 찾으면서 현재 팀을 대상으로 양질의 교육을 제공하고 회사에 남아 있을 만한 인센티브를 제공해야 합니다. 일상적인 작업을 자동화하면 IT 전문가가 더 전략적인 작업에 시간을 투자할 수 있게 되고 직무 만족도도 높아지게 됩니다. 

 


4. 사이버보안 예산은 가혹한 현실에 직면합니다. 

모두가 꺼리는 이야기이겠지만, 사이버보안에 대한 논의에서 예산을 빼놓을 수는 없습니다. 퀘스트의 사장 겸 총괄 관리자인 존 에르난데스는 냉혹한 현실을 가리킵니다. 계속되는 미국 정부의 셧다운 위협, 무디스의 신용 강등, 노동자 파업 증가, 기타 거시경제의 어려움에 직면한 기업 이사회가 다시 비용 절감에 초점을 맞추고 있다는 것입니다. 이는 사이버보안 예산에서 지난 팬데믹 동안의 증가세를 기대하면 안 된다는 것을 의미합니다. 따라서 CISO와 CIO는 2024년에 예산 지출의 우선순위를 정해야 합니다. 

 

실제 수치는 어떨까요? 최근 CEO와 CISO를 대상으로 한 오스터만 리서치(Osterman Research)의 설문조사에서 사이버보안 예산은 2022년부터 2023년까지 평균 11% 증가한 것으로 나타났습니다. 그러나 거의 모든 응답자(94%)는 그보다 더 높은 예산을 원한다고 답했습니다. 응답자들은 평균적으로 예산이 2배는 늘어야 생산적이고 효과적으로 사용할 수 있다고 답했으며, 일부는 3~5배의 예산을 원했습니다. 

 

한편 IANS 리서치(IANS Research)의 보고서에 따르면, 전 세계적인 불안정성과 인플레이션 압력 등의 요인으로 인해 사이버보안 지출 증가세는 둔화되고 있습니다. 보고서에 따르면 많은 CISO는 승인된 2023년 예산도 전반적인 예산 긴축에 따라 삭감되고 있다고 답했습니다. 또한 사이버보안 예산을 늘린 기업이라 해도 그 중 80%는 보안 사고, 대대적인 산업적 혼란 또는 기타 극한 상황으로 인한 예산 증가라고 답했습니다. 

 

이런 추세에 따라 2024년 사이버보안 프로젝트에 대한 자금 지원은 사후 대응적 방식으로 전환될 것으로 예상됩니다. 자금 지원의 가장 일반적인 트리거 이벤트는 다운타임 및 비용으로 이어지는 침해 또는 기타 사고일 가능성이 높지만 다른 이벤트도 있습니다. 예를 들어, 기업이 사이버 보험에 가입하려는 경우 위험 평가를 완료하고 이 평가에서 발견된 보안 공백을 완화한다는 조건을 충족해야 하는 경우가 증가하고 있습니다. 또 다른 일반적인 요인은 감사 결과 또는 사이버보안 위험, 거버넌스 및 사고 공개에 관한 새로운 SEC 규정과 같은 규제 요건입니다. 침해를 당한 기업이 그 사실을 SEC에 공개하지 않았다는 이유로 해당 사이버 공격자가 피해 기업을 SEC에 신고한 사례까지 있습니다. 


나머지 6가지 전망은 2부에서 계속해서 살펴보겠습니다. 포스팅에서 다룬 내용과 관련해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아에 문의주시기 바랍니다.  






퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB