팔로알토 “공격자는 이미 머신 스피드, 전통 보안 방법 안통해 ”

“사람의 대응에는 한계가 있기 때문에 대응자 입장에서도 인공지능(AI)을 활용해 어떻게 선제적으로 대응할 것인지, 또 AI를 이용해 어떻게 기술적으로 대응할 것인지가 가장 중요하다고 생각한다. 실제 공격자는 이미 머신 스피드(Machine Speed)로 이동했다.”

구자만 팔로알토 네트웍스 전무는 18일 <바이라인네트워크>가 서울 잠실 롯데호텔 3층 크리스탈볼룸에서 개최한 ‘사이버보안 기술 전략 컨퍼런스’에서 이같이 말했다. 그는 AI 기반 새로운 사이버 공격은 전통적인 방법으로 대처할 수 없고, 이를 대비할 시간이 충분하지 않다고 설명했다. 그러면서 인간의 속도에 맞춘 방어 체계는 기계가 주도하는 공격 주기를 따라잡을 수 없다고 강조했다.

구 전무는 “기존에는 패치 매니지먼트와 취약점 관리를 할 때 수동으로 스캔하고 취약점을 식별한 뒤 익스플로잇을 만들고 점검과 침투 테스트를 진행했다”며 “이런 과정에는 수개월이 걸렸다”고 전했다. 취약점 탐색, 공격 수단 마련, 테스트, 침투 단계까지 오랜 시간이 걸렸다는 의미다. 그러나 최근에는 이러한 주기가 크게 단축됐다.

여기에 AI 에이전트 간 연계를 통해 공격 주기를 더 빠르게 앞당길 수 있다는 설명이다. 그는 “프론티어 AI(최신 고성능 AI 모델)을 이용하면 작업이 병렬로, 순식간에 이뤄진다”며 “AI 에이전트끼리 정보를 공유하면 속도가 훨씬 빨라진다. 결국 사람이 할 수 있는 범위를 넘어설 수밖에 없다”고 경고했다.

구 전무는 랜섬웨어 공격 양상 변화가 AI 시대 사이버 위협을 잘 보여주는 사례로 언급했다. 과거 랜섬웨어는 데이터를 암호화한 뒤 비트코인 등 암호화폐를 요구하는 금전 목적 공격이 주를 이뤘다. 최근에는 대가를 요구하지 않고 데이터부터 공격하는 경우가 늘어났다. 우선 공격한 이후 협박을 이어가는 식이다.

그는 “최근 랜섬웨어는 무작정 망가뜨리는 경우가 많고 돈을 요구하지도 않는다”라며 “공격할 대상이 워낙 많기에 일단 일부를 파괴한 뒤 협박하며, 암호화를 해놓고도 돈을 요구하지 않는 경우도 있다”고 설명했다. 구 전무는 “랜섬웨어 공격 중 25% 정도는 암호화 피해조차 없다”며 “2·3차로 데이터를 훼손하고 정보를 공개하겠다는 식의 협박이 이뤄지고 있다”고 말했다.

이전까지 보안업계는 위험도가 높은 취약점을 중심으로 사이버 위협에 대응해 왔다. 그러나 최근에는 위험도가 낮은 로우 레벨을 연계해 새로운 취약점을 발견하고 여러 공격 경로를 조합해 실제 공격으로 이어지는 사례가 관측되고 있다. 구 전무는 이러한 변화에 대응하기 위해서는 기존 보안 체계에 변화가 필요하다고 진단했다.

먼저 구 전무는 AI를 활용해 취약점을 선제적으로 발견하고 고쳐야 한다고 강조했다. 공격자보다 먼저 취약점을 찾고 악용을 막을 수 있는 체계를 확보해야 한다는 것이다. 이를 위해 최신 AI 모델과 AI 스캐닝 하네스를 활용하고 패치 프로세스를 자동화해야 한다고 전했다. 동일한 AI 스캐닝 기술을 오픈소스 공급망에 적용해 한발 빠르게 취약점을 조치할 필요가 있다고 말했다.

실제 공격으로 이어질 가능성이 높은 취약점을 찾아내고 대응하는 ‘도달 가능성 기반 평가’도 중요하다고 설명했다. 조직 전체를 실시간으로 보호할 수 있는 전사적 수준의 보호 체계를 구축하고, MTTD(평균 탐지 시간)와 MTTR(평균 대응 시간)을 분 단위 수준으로 단축해야 한다고 강조했다.

구 전무는 “외부에 노출돼 있는 공격표면(Attack Surface)을 점검하고 조치할 수 있는 부분은 미루지 말고 즉각 대응해야 한다”며 “지금은 MTTR이 더욱 빨라져야 한다”고 전했다. 그러면서 “실시간으로 대응할 수 있는 체계를 준비해야 한다”며 “동원할 수 있는 모든 보안 솔루션으로 최신 기법과 중요한 룰을 적용하고 100% 예방을 목표로 준비할 필요가 있다”고 제언했다.

글. 바이라인네트워크
<윤정환 기자>yjh@byline.network