[급증하는 사이버 위협, 대응책은?①] 디지털 전환 가속화, 사이버 위협의 ‘양분’ 2024년 사이버 범죄 ‘트렌드’, AI와 소프트웨어 공급망 산업 전 분야를 넘어 우리 일상까지 디지털 전환이 이뤄지고 있다. 이에 대한 반작용으로, 사이버 보안의 허점을 파고드는 사이버 위협, 사이버 범죄도 증가하고 있다. 한국인터넷진흥원(KISA)은 18일 개최한 ‘2023 KISA 정책연구 성과 발표회’에서 ‘사이버시큐리티벤처스’의 자료를 인용해 글로벌 사이버 범죄 피해 규모가 2021년 6조 9천390억에 이르며 올해 9조 1천770억, 2025년 10조 500억 규모로 예상된다고 밝혔다. 본보는 KISA의 ‘2023 KISA 정책연구 성과 발표회’를 통해 사이버 보안 역량 강화 방안에 대해 살펴봤다.섬세한 주의 필요한 ‘양날의 검’ AI(인공지능)KISA 정책개발팀 김성훈 팀장은 “알파고가 AI를 알리는 역할을 했다면, ChatGPT는 실생활에서 체험할 수 있는 서비스라는 기대감을 각인했다”라고 소개했다.Open AI의 ChatGPT는 2023년 4월까지 데이터가 반영된 새 모델과 이미지 생성, 음성변환 등 다양한 유료 기능을 제공하고 있다. 이뿐 아니라 마이크로소프트, 구글, 메타 등 해외 빅테크 기업과 네이버, 카카오 같은 국내 기업들도 AI 개발 경쟁에 집중해 AI 시장을 선점하고자 한다. 김 팀장은 “이렇듯, 생성형AI가 부족함을 보완하고 생산성을 향상하는 조력자가 될 것이라는 기대감이 높다”라면서 “반면, AI의 뛰어난 성능은 사이버 범죄의 기반으로 악용될 가능성이 높다”라고 경고했다.가령, 피싱 범죄를 위한 가짜 메일을 생성해 자연스러운 문장 구조로 이용자가 속을 가능성이 높아질 수 있다. 또, 비전문가도 코드를 만들 수 있기에 악성 코드 생성 및 유포에 적극 활용될 수도 있다.AI모델을 대상으로 하는 적대적 공격도 이뤄지고 있다. 김성훈 팀장은 “머신러닝 알고리즘의 취약점을 이용해 AI가 잘못된 판단을 유도하는 방식”이라고 설명했다. 악의적인 학습데이터를 주입해 정확도를 낮추거나, 학습 모델을 추출해 복제하는 등의 적대적인 공격 기법이 탐지됐다.그는 “주요국에서는 인공지능 위험성에 대해 조사하고 규제 논의가 확대되고 있다”라고 말했다. 지난 5월 히로시마 G7 정상회의에서 생성형 AI 논의 및 거버넌스 마련을 위한 ‘히로시마 AI 프로세스’가 출범했고, 10월 30일 공동 성명 및 AI 개발자 11개 행동 규범을 발표했다.11월 1일에는 안전한 AI를 위한 협력방안 모색을 위해 대한민국을 비롯한 28개국과 주요 기업들이 참석한 AI 안전 정상회의를 개최해, 인공지능에 대한 최초의 국제적 합의인 ‘블레츨리 선언’를 공개했다. 이 같은 동향을 전한 김성훈 팀장은 “한국은 AI 경쟁력 세계 6위 국가로, 초거대 AI 모델을 보유한 전 세계 몇 안 되는 국가”라며 “범정부 차원의 대응 전략을 마련하고 국제 규범을 선도해야 한다”라고 밝혔다. 아울러, “사이버 보안 혁신을 위해 보안 시스템에 적극적인 AI 도입도 필요하다”라고 덧붙였다.소프트웨어 공급망 공격, 올해 3배 급증소프트웨어 공급망은, 소프트웨어 제품 공급의 전 단계에 투입되는 참여자·자원·프로세스 등을 포괄하는 개념이다. 제품과 개발/수요 업체 외에도 △IT자산 △개발 환경 △개발/관리 인력 △계약 관리 등도 포함된다. KISA 디지털안전단 이익섭 단장은 “소프트웨어 개발에는 제3자가 개발한 소스, 오픈 소스를 활용하는 경우가 상당히 많다”라며 “배포 단계의 빌드 서버, 유지보수를 위한 패치 서버 등에서도 보안 문제가 생길 수 있다”라고 말했다.그는 “취약한 공급망 전 범위로 공격이 확대되는 양상”이라며 “과학기술정보통신부와 KISA가 발표한 ‘2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망’에도 소프트웨어 공급망 보안이 중요한 보안 키워드 중 하나로 꼽혔다”라고 전했다. 이 단장은 “소프트웨어 공급망 공격은 올해 3배 가까이 증가했다”라고 설명하기도 했다. 소프트웨어 내 오픈 소스가 차지하는 비중이 96%에 달했고, 오픈 소스의 취약점 비중은 84%였다. 즉, 오픈소스를 활용한 개발자·업체의 제품에 취약점이 내재될 가능성이 높고, 이를 타깃으로 한 공격이 다수 야기된 것이다. 이어, “해커들의 공격대상이 국가 인프라로 확대되며 피해규모 극대화 되고, 사회 중요 인프라를 노림으로써 혼란을 유발하는 특성을 갖게 됐다”라며 “따라서 정부와 민간기업 그리고 국가 간의 공조와 대응이 가장 중요할 것”이라고 의견을 내놨다. 이익섭 단장은 미국과 유럽의 소프트웨어 공급망 보안 정책과 법제화 동향을 소개하며 ‘SBOM(Software Bill of Material)'을 강조했다. 소프트웨어의 구성요소에 대한 정보를 나열하고 문서화 한 것으로, ▲취약성 관리 ▲제품 추적성 확보 ▲공급망 투명성 제고 등에 용이하다.그는 “우리나라는 정책연구, 의견수렴, 기술지원 등 작년 10월부터 소프트웨어 공급망 공격에 능동적으로 대응하고, 해외 무역장벽 해소를 지원하기 위한 보안 관리체계 기반을 조성하고 있다.”라고 했다.그러면서, “내년에는 SBOM 적용과 확산을 위한 실증 및 기술지원, 지원 체계와 보안 단계별 가이드 개발 등을 추진할 것”이라며 “소프트웨어 공급망 보안 문화를 정착하고, 제도화를 통해 확산하는 방안을 연구 중이다”라고 밝혔다. →‘[급증하는 사이버 위협, 대응책은?②] 선제 대응 강화·10만 인재 양성하는‘KISA’’기사로 이어집니다.

[급증하는 사이버 위협, 대응책은?①] 디지털 전환 가속화, 사이버 위협의 ‘양분’

2024년 사이버 범죄 ‘트렌드’, AI와 소프트웨어 공급망

기사입력 2023-12-19 16:00:41

한국인터넷진흥원(KISA) 로고

[산업일보]
산업 전 분야를 넘어 우리 일상까지 디지털 전환이 이뤄지고 있다. 이에 대한 반작용으로, 사이버 보안의 허점을 파고드는 사이버 위협, 사이버 범죄도 증가하고 있다.

한국인터넷진흥원(KISA)은 18일 개최한 ‘2023 KISA 정책연구 성과 발표회’에서 ‘사이버시큐리티벤처스’의 자료를 인용해 글로벌 사이버 범죄 피해 규모가 2021년 6조 9천390억에 이르며 올해 9조 1천770억, 2025년 10조 500억 규모로 예상된다고 밝혔다.

본보는 KISA의 ‘2023 KISA 정책연구 성과 발표회’를 통해 사이버 보안 역량 강화 방안에 대해 살펴봤다.

한국인터넷진흥원 정책개발팀 김성훈 팀장

섬세한 주의 필요한 ‘양날의 검’ AI(인공지능)
KISA 정책개발팀 김성훈 팀장은 “알파고가 AI를 알리는 역할을 했다면, ChatGPT는 실생활에서 체험할 수 있는 서비스라는 기대감을 각인했다”라고 소개했다.

Open AI의 ChatGPT는 2023년 4월까지 데이터가 반영된 새 모델과 이미지 생성, 음성변환 등 다양한 유료 기능을 제공하고 있다. 이뿐 아니라 마이크로소프트, 구글, 메타 등 해외 빅테크 기업과 네이버, 카카오 같은 국내 기업들도 AI 개발 경쟁에 집중해 AI 시장을 선점하고자 한다.

김 팀장은 “이렇듯, 생성형AI가 부족함을 보완하고 생산성을 향상하는 조력자가 될 것이라는 기대감이 높다”라면서 “반면, AI의 뛰어난 성능은 사이버 범죄의 기반으로 악용될 가능성이 높다”라고 경고했다.

가령, 피싱 범죄를 위한 가짜 메일을 생성해 자연스러운 문장 구조로 이용자가 속을 가능성이 높아질 수 있다. 또, 비전문가도 코드를 만들 수 있기에 악성 코드 생성 및 유포에 적극 활용될 수도 있다.

AI모델을 대상으로 하는 적대적 공격도 이뤄지고 있다. 김성훈 팀장은 “머신러닝 알고리즘의 취약점을 이용해 AI가 잘못된 판단을 유도하는 방식”이라고 설명했다. 악의적인 학습데이터를 주입해 정확도를 낮추거나, 학습 모델을 추출해 복제하는 등의 적대적인 공격 기법이 탐지됐다.

그는 “주요국에서는 인공지능 위험성에 대해 조사하고 규제 논의가 확대되고 있다”라고 말했다. 지난 5월 히로시마 G7 정상회의에서 생성형 AI 논의 및 거버넌스 마련을 위한 ‘히로시마 AI 프로세스’가 출범했고, 10월 30일 공동 성명 및 AI 개발자 11개 행동 규범을 발표했다.

11월 1일에는 안전한 AI를 위한 협력방안 모색을 위해 대한민국을 비롯한 28개국과 주요 기업들이 참석한 AI 안전 정상회의를 개최해, 인공지능에 대한 최초의 국제적 합의인 ‘블레츨리 선언’를 공개했다.

이 같은 동향을 전한 김성훈 팀장은 “한국은 AI 경쟁력 세계 6위 국가로, 초거대 AI 모델을 보유한 전 세계 몇 안 되는 국가”라며 “범정부 차원의 대응 전략을 마련하고 국제 규범을 선도해야 한다”라고 밝혔다. 아울러, “사이버 보안 혁신을 위해 보안 시스템에 적극적인 AI 도입도 필요하다”라고 덧붙였다.

한국인터넷진흥원 디지털안전단 이익섭 단장

소프트웨어 공급망 공격, 올해 3배 급증
소프트웨어 공급망은, 소프트웨어 제품 공급의 전 단계에 투입되는 참여자·자원·프로세스 등을 포괄하는 개념이다. 제품과 개발/수요 업체 외에도 △IT자산 △개발 환경 △개발/관리 인력 △계약 관리 등도 포함된다.

KISA 디지털안전단 이익섭 단장은 “소프트웨어 개발에는 제3자가 개발한 소스, 오픈 소스를 활용하는 경우가 상당히 많다”라며 “배포 단계의 빌드 서버, 유지보수를 위한 패치 서버 등에서도 보안 문제가 생길 수 있다”라고 말했다.

그는 “취약한 공급망 전 범위로 공격이 확대되는 양상”이라며 “과학기술정보통신부와 KISA가 발표한 ‘2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망’에도 소프트웨어 공급망 보안이 중요한 보안 키워드 중 하나로 꼽혔다”라고 전했다.

이 단장은 “소프트웨어 공급망 공격은 올해 3배 가까이 증가했다”라고 설명하기도 했다. 소프트웨어 내 오픈 소스가 차지하는 비중이 96%에 달했고, 오픈 소스의 취약점 비중은 84%였다. 즉, 오픈소스를 활용한 개발자·업체의 제품에 취약점이 내재될 가능성이 높고, 이를 타깃으로 한 공격이 다수 야기된 것이다.

이어, “해커들의 공격대상이 국가 인프라로 확대되며 피해규모 극대화 되고, 사회 중요 인프라를 노림으로써 혼란을 유발하는 특성을 갖게 됐다”라며 “따라서 정부와 민간기업 그리고 국가 간의 공조와 대응이 가장 중요할 것”이라고 의견을 내놨다.

이익섭 단장은 미국과 유럽의 소프트웨어 공급망 보안 정책과 법제화 동향을 소개하며 ‘SBOM(Software Bill of Material)'을 강조했다. 소프트웨어의 구성요소에 대한 정보를 나열하고 문서화 한 것으로, ▲취약성 관리 ▲제품 추적성 확보 ▲공급망 투명성 제고 등에 용이하다.

그는 “우리나라는 정책연구, 의견수렴, 기술지원 등 작년 10월부터 소프트웨어 공급망 공격에 능동적으로 대응하고, 해외 무역장벽 해소를 지원하기 위한 보안 관리체계 기반을 조성하고 있다.”라고 했다.

그러면서, “내년에는 SBOM 적용과 확산을 위한 실증 및 기술지원, 지원 체계와 보안 단계별 가이드 개발 등을 추진할 것”이라며 “소프트웨어 공급망 보안 문화를 정착하고, 제도화를 통해 확산하는 방안을 연구 중이다”라고 밝혔다.

→‘[급증하는 사이버 위협, 대응책은?②] 선제 대응 강화·10만 인재 양성하는‘KISA’’기사로 이어집니다.