구글 "뛰어가는 AI피싱공격, 보안은 AI타고 날아갈 기회"

[이데일리 최정희 기자] “홍보팀이 행사 초청 메일을 보냈다. 이 메일이 실제 구글 홍보팀에서 보낸 것인지, 인공지능(AI)을 기반으로 한 사이버 공격자들의 피싱(Fishing·공격자가 사람들을 속여 사기를 당하도록 고안한 악성 메일) 메일인지 알 수가 없다. 의심하라고 배웠지만 현실적으로 대응하기 어렵다. 인간이 한 것인지, AI가 한 것인지를 구분해야 하고 이에 따라 대응이 달라질 것이다.”

아만다 워커(Amanda Walker) 구글 개인정보보호 및 보안 연구 개발 총괄은 18일 서울 JW메리어트 호텔에서 열린 ‘세이퍼 위드 구글(Safer with Google)’ 행사에 앞서 열린 기자회견에서 이같이 말했다. 한국 방문이 처음이라는 워커는 18년간 관련 일을 해왔다.

아만다 워커(Amanda Walker) 구글 보안 및 개인정보보호 연구 개발 총괄이 18일 서울 JW메리어트 호텔에서 기자회견을 하고 있다.(출처: 구글코리아)

◇ 구글 “AI, 사이버 보안 강화할 수 있는 기회”

워커는 “사이버 공격은 단 한 번의 성공으로 충분하지만 방어의 경우 모든 순간이 중요하고 한 번의 실패도 허용되지 않는다는 점에서 ‘방어자의 딜레마’가 있다”며 “AI기술은 이러한 딜레마를 해결하고 오히려 ‘방어자의 이점’을 확보할 수 있는 기회를 제공한다”고 강조했다.

한국을 비롯한 아시아태평양 지역을 중심으로 사이버 공격이 급증하고 있다. 작년 구글 트렌드 검색어 분석에 따르면 한국은 작년 ‘피싱’, ‘랜섬웨어’ 키워드를 각각 가장 많이 검색한 1위 국가로 조사됐다. 작년 사이버 공격 사건은 78%나 급증했다. 전 세계에서 ‘사기’를 가장 많이 검색한 국가 상위 10위에 속하기도 했다.

AI가 발달할수록 AI를 활용한 사이버 공격이 증가할 위험이 커질 수 있다. 워커 총괄은 “전문가들은 AI기반의 공격을 가장 심각하고 대응하기 어려운 공격으로 꼽는다. 사이버 공격자들은 AI를 이용해 조직과 시스템을 공격하고 있다”고 말했다. 이어 “특히 피싱 공격의 17%가 성공하는데 피싱 이메일은 악성 웹사이트 링크가 포함돼 있을 수도 있고 사용자 자격 증명이나 첨부파일을 도용할 수 있다”고 짚었다. AI기반으로 대량의 피싱 이메일이 뿌려질 경우 이를 과연 걸러낼 수 있느냐가 관건이다.

워커 총괄은 AI기반의 사이버 공격이 심해지고 있지만 AI기반의 보안 강화를 통한 방어 역량을 강화할 기회로 삼아야 한다고 강조했다. 그는 “지금이 AI발전을 위한 변혁의 순간”이라며 “AI는 사이버 보안을 변화시키고 업무 방식을 변화시키고 있다”고 밝혔다. 이어 “구글 내 AI 보안 인프라에선 연중무휴 모니터링을 하고 있다”고 덧붙였다.

예컨대 구글의 제미나이(Gemini) 1.5프로(Pro)는 악명 높은 랜섬웨어 공격인 ‘WannaCry’의 악성코드 파일 100만토큰을 한 번에 역파일화(decompiled·원래의 소스 코드 형태로 되돌리는 과정)하는 데 단 34초밖에 걸리지 않는다. 워커 총괄은 “소프트웨어 사이버 보안 전문가가 사용할 수 있는 기술 중 하나인 리버스 엔지니어링 악성 코드(악성코드 역분석)의 기술 노동 집약적 프로세스를 획기적으로 단순화할 수 있다”고 설명했다.

지메일(Gmail)은 신경 기반의 새로운 다중 언어 텍스트 처리 모델을 사용해 스팸 탐지율을 38% 향상시켰고 오탐지를 19% 넘게 줄였다. 비용 절감 효과도 있었다는 게 워커 총괄의 설명이다.

워커 총괄은 AI기반의 사이버 공격에 대비해 보안 기술 발달 외에 보안 인력의 역량 및 공급 강화가 중요하다고 짚었다. 그는 “한국에 1만7000명이 넘는 사이버 보안 인력이 있는데 이들의 역량 강화를 지원하는 데 구글이 도움을 주고 있다”며 “작년 여러 도시에서 사이버 보안 로드쇼를 진행하면서 관련 구역에 1000명의 한국 개발자를 교육했고 구글 클라우드에선 2000명의 전문가 대상으로 보안 교육을 실시했다”고 밝혔다. 다만 그는 “개인정보보호 및 보안은 구글 혼자서 할 수 없는 일”이라며 “정책 입안자 등의 도움이 필요하다”고 덧붙였다.

곽진 아주대학교 사이버보안학과 교수가 18일 서울 JW메리어트호텔에서 기자회견을 하고 있다.(출처: 구글코리아)

◇ “사이버 공격자는 법, 규제를 무시…규제 강화 답 아냐”

한편 이날 기자회견에 함께 참석한 곽진 아주대 사이버보안학과 교수는 “AI기술은 누가 어떤 목적으로 어떻게 사용하느냐에 따라 긍정적 또는 부정적 결과를 초래하는 양면성을 갖고 있다”면서도 “다만 AI는 학습을 기반으로 결과를 보여줄 뿐, AI가 특정 의도를 갖고 행동하는 것은 아니기 때문에 법적 규제를 통해 책임을 묻고 제재하는 것이 쉽지 않다”고 설명했다. 이어 “AI기반의 사이버 공격을 막기 위해 규제를 강화할 경우 사이버 방어자들의 AI활용이 제한돼 외려 더 큰 위협을 받을 수 있다”고 강조했다. 사이버 공격자는 법, 규제를 무시하고 본인들의 목표를 달성하기 위해 AI 기술을 악용하기 때문에 법을 강화해서 해결할 문제가 아니라는 얘기다.

곽 교수는 “AI기술 자체를 발전시키기보다 각 산업 분야의 특성을 반영해 발전해야 더 큰 가치를 창출할 수 있다”며 “금융, 의료 등 다양한 산업 분야에서 AI를 논하고 있지만 많은 경우 AI기술 자체에 초점을 맞추고 산업 특성을 기술에 억지로 맞추려는 경향이 있는데 이럴 경우 AI의 장점을 살리기 어렵다”고 설명했다.

한편 이날 오후 개최될 ‘세이퍼 위드 구글’ 행사에는 강도현 과학기술정보통신부 제2차관, 김경훈 구글코리아 사장, 곽진 교수, 워커 총괄 등 주요 관계자 및 AI 전문가들이 참석해 AI시대 보안 기술에 대한 의견을 나눈다. 세이퍼 위드 구글 행사는 올해로 세 번째 열린다.