유진 카스퍼스키 “AI보다 공격자 변화가 보안기업 역할 바꾼다” [보안 아웃룩]
"보안 기업의 역할은 인공지능(AI) 때문에 바뀌는 것이 아니다. 해커의 행위가 바뀌기 때문에 달라진다."
글로벌 사이버 보안 기업 카스퍼스키 랩(Kaspersky Lab) 창립자인 유진 카스퍼스키(Eugene Kaspersky) 최고경영자(CEO)는 10일 IT조선과의 인터뷰에서 AI 시대 속 보안기업의 역할 변화를 이같이 진단했다.
유진 카스퍼스키 CEO는 "미토스 같은 사이버 보안 AI는 제로데이 취약점을 찾는 데 매우 뛰어난 도구로 알려졌지만, 결국 엔지니어가 더 나은 제품을 만들도록 돕는 또 하나의 기술일 뿐"이라며 "혁명도, 만병통치약도 아니다"라고 했다. 그는 AI가 방어자에게는 제품 개선 도구가 될 수 있지만, 공격자에게는 새로운 공격 벡터를 만드는 도구가 될 수 있다고 봤다. 결국 누가 어떤 목적을 갖고 쓰느냐가 중요하다는 것이다.
그는 현재의 생성형 AI도 '진짜 AI'로 보지 않는다고 재차 강조했다. 유진 카스퍼스키 CEO는 2017년 온라인 커뮤니티 레딧(Reddit)에 깜짝 등장해 사용자들과 의견을 나누며 "이번 세기 안에 진짜 AI는 존재하지 않을 것"이라고 밝힌 바 있다. 그는 이번 인터뷰에서도 "여전히 같은 생각이다"며 "현재 AI는 진짜 AI가 아니라 매우 똑똑한 검색 머신에 가깝다"고 말했다.
그가 말하는 진짜 AI는 처음부터 설계되지 않은 과제까지 스스로 해결할 수 있는 지능이다. 그는 현재 생성형 AI가 인터넷과 기존 데이터에 존재하는 답을 찾아내는 데는 뛰어나지만, 완전히 새로운 문제를 인간처럼 해결하는 단계는 아니라고 봤다. 유진 카스퍼스키 CEO는 "복잡하고 똑똑하지만 여전히 수학적 알고리즘일 뿐, 인간의 뇌와는 거리가 멀다"고 말했다.
"1994년부터 들은 안티바이러스 종말론과 같아"
유진 카스퍼스키 CEO는 미토스 등장 이후 나타난 보안 업계에 대한 자본시장의 반응이 지금껏 새 기술이 등장할 때마다 반복된 보안산업에서의 대체론과 비슷한 흐름이라고 말했다. 그는 "새 기술이 사이버 보안 산업을 완전히 바꿀 것이라는 말은 이번이 처음이 아니다"라며 "안티바이러스는 죽었다는 말을 1994년부터 들어왔다"고 했다.
물론 안티바이러스가 여전히 보안 시장의 중심은 아니다. 엔드포인트 보안 시장은 이미 엔드포인트 보호 플랫폼(EPP), 엔드포인트 탐지·대응(EDR), 확장된 탐지·대응(XDR)으로 발전했고 보안 시장의 무게중심도 클라우드 보안, 아이덴티티 보안, 산업 보안 등으로 넓어졌다. 하지만 안티바이러스는 과거와 같은 핵심 성장 분야에서는 내려왔음에도, 기본 방어 계층으로는 여전히 건재하다.
유진 카스퍼스키 CEO의 발언은 새 기술이 기존 보안 체계를 완전히 대체하기보다, 보안 체계 안에 편입돼 역할을 재조정해왔다는 의미로 해석된다. 그는 "데이터베이스(DB) 업데이트, 선제 탐지, 운영체제(OS) 기본 보안 기능 강화 등도 처음에는 기존 보안 업체들을 대체할 것이라는 예상을 불러왔지만 그렇지 않았다"며 "계속해서 우회 방법을 찾아온 공격자들에 수십 년간 대항해온 것은 보안 전문기업들이었다"고 말했다.
그는 "전문 범죄자와 해커는 모두 사람이고, 사람의 뇌는 어떤 AI보다 강력하다"며 "전문 공격자는 언제나 새로운 기술을 우회할 방법을 찾는다"고 말했다.
기업·공공망 넘어 산업망까지 보호 대상 확대
유진 카스퍼스키 CEO는 AI라는 도구가 보안기업의 역할을 바꾸는 것이 아니라, 공격자의 목표와 행위가 달라지면서 보안기업의 역할도 바뀌고 있다고 봤다. 그는 "보안기업의 역할은 AI 때문에 바뀌는 것이 아니다. 해커의 행동이 바뀌기 때문에 변화한다"며 "최근의 공격은 사이버 사보타주(sabotage·파괴공작)와 사이버 테러리즘으로 이동하고 있다"고 말했다. 즉 기업 업무를 멈추거나 네트워크를 마비시키는 공격이 늘고 있다는 설명이다.
그는 특히 과거 보안기업이 소비자, 기업 사무실, 공공기관 등의 네트워크 보호에 집중했다면, 이제는 보호 대상이 산업 네트워크와 사물인터넷(IoT), 교통, SCADA(감시·제어·데이터수집) 등 물리(physical) 시스템으로 넓어졌다고 짚었다.
산업망 보안, 목표는 '공정 중단 방지'
유진 카스퍼스키 CEO는 특정 산업군이 더 취약할 수 있다기보다는, 기업마다 보안에 대한 인식 수준과 투자 규모가 다른 점이 보안 역량과 위험 수준을 가른다고 봤다. 산업 네트워크의 경우 리눅스나 마이크로소프트 윈도 등 일반 IT 환경과 같은 운영체제(OS)를 쓰는 경우가 많아 업종 자체보다 네트워크를 운영·관리하는 보안 조직의 역량이 위험 수준을 좌우한다고 설명했다. 그는 "더 취약한 업종이 특별히 있다기보다는 네트워크를 관리하는 보안 엔지니어의 역량에 따라 달라진다"고 말했다.
다만 산업 네트워크 보안은 일반 사무실 네트워크 보안과 목표가 다르다고 강조했다. 사무실 네트워크에서는 악성코드와 해커를 막는 것이 우선이지만, 산업 네트워크에서는 기술 공정이 멈추지 않도록 하는 것이 핵심이라는 설명이다. 유진 카스퍼스키 CEO는 "사무실 네트워크를 보호할 때 목표는 악성코드와 해커를 막는 것이지만, 산업 네트워크에서는 기술 공정이 중단되지 않도록 하는 것이 가장 중요하다"고 말했다.
그는 강력한 보안 체계를 만들기 위한 조건으로 세 가지를 제시했다. 좋은 제품과 기술, 사이버 보안 전문가 팀, 기업 내부 보안 프로세스다. 그는 "강력한 사이버 보안을 구축하는 것은 가능하다. 많은 비용이 들 뿐"이라며 "많은 기업이 보안에 충분히 투자하지 않는다는 점이 문제"라고 지적했다.
사이버 면역, 시큐어 코딩보다 '아키텍처'가 핵심
카스퍼스키가 강조해온 '사이버 면역(Cyber Immunity)'에 대해서는 단순한 시큐어 코딩이나 보안 개발보다 넓은 개념이라고 설명했다. 핵심은 OS와 애플리케이션을 처음부터 안전한 아키텍처로 설계하는 데 있다는 것이다.
유진 카스퍼스키 CEO는 "사람들은 '시큐어 바이 디자인(Secure by Design)'을 말할 때 보안이 갖춰진 개발 환경이나 코드 보안을 떠올리지만, 이는 사이버 면역의 절반에만 해당한다"며 "사이버 면역에서 가장 중요한 것은 OS와 애플리케이션의 안전한 아키텍처다"라고 말했다.
그러면서 그는 윈도나 리눅스를 사이버 면역이 갖춰진 시스템으로 보지 않는다고 했다. 이들 기존 범용 OS는 기능이 풍부하고 유연하지만, 사이버 면역이 요구하는 보안 아키텍처를 갖춘 구조는 아니라는 설명이다.
이에 카스퍼스키는 자체 OS인 '카스퍼스키OS'를 통해 사이버 면역 접근을 구현하고 있다. 유진 카스퍼스키 CEO는 "카스퍼스키OS는 윈도나 리눅스처럼 크고 강력한 운영체제는 아니지만 매우 콤팩트하다"며 "현재는 IoT와 중요 인프라의 단순 장비를 보호하는 데 적합하다"고 말했다. 이어 "다음 단계는 이런 아키텍처를 기반으로 SCADA 시스템을 개발하는 것"이라고 덧붙였다.
"카스퍼스키, 소비자 보안 넘어 기업·산업 보안으로"
유진 카스퍼스키 CEO는 한국을 포함하는 아시아 시장에서 주로 소비자 보안 기업으로 알려진 카스퍼스키의 기존 이미지를 벗어나는 것이 중요하다고 보고 있다. 그는 카스퍼스키가 여전히 개인용 보안 분야에서 강점을 갖고 있지만, 동시에 기업과 산업 보안 분야에서도 충분한 경험과 솔루션을 갖췄다고 강조했다.
그는 "한국뿐 아니라 아시아 시장에서 카스퍼스키에 대해 여전히 소비자 회사라는 인식이 있다"며 "우리는 더 이상 그렇지 않다"고 말했다. 이어 "정부, 에너지, 석유·가스, 교통, 철도 등 다양한 기업과 산업을 보호한 경험이 있다"고 설명했다.
유진 카스퍼스키 CEO는 산업 네트워크 보안을 차별화 포인트로 제시했다. 그는 "카스퍼스키는 산업 네트워크를 대상으로 엔드포인트 보안과 네트워크 보안을 모두 제공한다"며 "경쟁사는 둘 중 하나만 제공하지만 카스퍼스키는 둘 다 지원 가능하다"고 말했다.
위협 인텔리전스도 강점으로 언급했다. 그는 "미국에서 카스퍼스키 제품은 판매가 금지됐지만, 우리의 위협 인텔리전스만큼은 여전히 미국에서 구매하고 있을 만큼 역량이 뛰어나다"고 말했다. 이밖에 오픈소스 프로젝트에 숨어 있는 악성 요소를 찾는 보안 기술도 차별화된 기술로 제시했다.
한국 시장의 지정학적 특수성에 대해서도 언급했다. 그는 사이버 공간에는 국경이 없지만, 지정학적 상황에 따라 서로 다른 문제를 겪으며 각 지역별 특성을 보이는 것도 사실이라고 말했다. 예를 들어 러시아와 우크라이나는 전쟁 상황때문에 파괴적 공격이 매우 잦고, 중동도 잦은 충돌을 보이는 편이다. 반면 라틴아메리카는 소규모 사이버 범죄는 많지만 파괴적 공격은 상대적으로 적다는 설명이다. 한국의 경우 북한과 인접한 지정학적 환경 때문에 특수한 사이버 위협에 노출돼 있다고 평가했다.
유진 카스퍼스키 CEO는 "북한은 한국뿐 아니라 전 세계를 대상으로 활발하게 공격하고 있다"며 "한국 기업에는 더 많은 보안 투자가 필요하다"고 조언했다. 그러면서 그는 "앞서 언급했듯 좋은 기술과 제품, 보안 전문가 팀, 보안 교육을 포함하는 내부 프로세스까지 3가지를 갖춰야 한다"고 다시 한번 덧붙였다.
정종길 기자
jk2@chosunbiz.com
Copyright © IT조선. 무단전재 및 재배포 금지.