[디지털투데이 황치규 기자]"많은 이들이 AI가 해커에게 압도적으로 유리해질 것이라고 걱정한다. 하지만 현실은 그렇게 단순치 않다."

세계적인 암호학자이자 보안 전문가인 브루스 슈나이어(Bruce Schneier)가 앤트로픽이 개발한 AI 모델 미토스가 사이버 보안 판에 미치는 영향을 조명하며  AI를 활용한 공격과 AI를 통한 방어 간 대결에서 장기적으로는 방어가 유리할 것으로 봤다.

 하지만 새로운 표준이 자리잡기까지 몇 년간은 지속적인 해킹 사건을 겪을 수 있다고 경고했다. 자동차, 냉장고, 레거시 금융 시스템처럼 업데이트가 느리거나 불가능한 시스템들은 해결책이 나오기까지 해킹이 반복될 수 있다는 얘기다.

그에 따르면 AI로 인한 위협에 상대적으로 쉽게 대응할 수 있는 분야가 있는 반면 그렇지 않은 영역도 있다.  취약점 종류에 따라 리스크도 달라진다.

이를 위해 그는 취약점을 4가지 유형으로 구분했다.

첫 번째는 자동으로 찾아 검증하고 패치까지 할 수 있는 취약점이다. 두 번째는 찾기는 어렵지만 발견하면 빠르게 패치할 수 있는 취약점이다. 

표준 소프트웨어 스택으로 구성된 클라우드 웹 애플리케이션이 대표적이다. 업데이트를 빠르게 배포할 수 있어 방어가 충분히 따라잡을 수 있다는게 슈나이어 설명이다.

세 번째는 찾기는 쉬운데 패치가 어렵거나 불가능한 취약점이다. 잘 업데이트되지 않는 사물인터넷(IoT) 가전제품과 산업용 장비를 예로 들 수 있다. 네 번째는 코드에서는 찾기 쉽지만 실제 환경에서 검증하기 어려운 취약점이다. 슈나이어는 "수천 개 서비스가 병렬로 돌아가는 복잡한 분산 시스템에서는 진짜 취약점과 오탐을 구분하기 어렵다"고 말했다.

슈나이어는 4가지 취약점을 구분하는 것이 AI 시대 사이버보안 전략의 출발점이라고 강조한다. 패치 가능 여부와 검증 난이도에 따라 대응 방식이 완전히 달라지진다는 이유에서다. 그는 "스마트폰, 웹브라우저, 주요 인터넷 서비스처럼 업데이트가 빠른 시스템은 AI로 취약점을 찾는 만큼 빠르게 패치도 가능하다. 방어가 따라잡을 수 있다"고 말했다.

문제는 패치하기 어려운 시스템이다. 그는 "냉장고, 자동차, 산업용 제어 장비, 레거시 금융 시스템처럼 쉽게 업데이트할 수 없는 시스템은 인터넷과 직접 연결하지 않고 엄격한 방화벽 뒤에 둬야 한다. 각 구성 요소가 꼭 필요한 접근권만 갖도록 설계하는 최소 권한 원칙도 여전히 유효하다"고 말했다.

슈나이어는 AI 시대, 소프트웨어 개발 관행도 바뀔 필요가 있다는 입장이다. 그는 "AI 에이전트를 활용해 실제 환경에서 공격을 반복 테스트하고 진짜 취약점만 걸러내는, 이른바 취약저 옵스(VulnOps)가 개발 프로세스 표준이 될 것이다"고 말했다. 

문서화도 중요해질 것으로 보고 있다. 그는 "개발자가 코드를 이해하려면 문서가 필요하듯, AI 에이전트도 버그를 찾을 때 문서를 참고한다. 문서가 잘 정리돼 있을수록 AI가 코드 구조를 빠르게 파악하고 취약점을 더 정확하게 찾는다"고 말했다. 또 "독자적인 방식보다 업계 표준 도구와 라이브러리를 쓰면 AI가 이미 학습한 패턴과 일치해서 취약점을 더 잘 잡아낼 수 있다"고 덧붙였다.

• BNK금융, 1분기 당기순익 2114억원...전년 대비 26.9%↑
• 노현태 상무이사, 파이오링크 주식 1500주 증가
• 최준영 이사, 파이오링크 주식 1466주 보유 보고
• 이명신 상무이사, 파이오링크 주식 1500주 보유
• 모비릭스, 대표이사 임중수 선임…이남일·이승균 사임