보안에 대한 ’관심‘이 보안 예산 투자라는 ‘행동’으로 이어져야
[보안뉴스=배종찬 인사이트케이 연구소장] 올해 들어 해킹, 스미싱, 피싱, 그리고 국가 정보 보안에 대한 심각성이 집중적으로 부각되고 있다. 9월 말 국가 데이터 핵심 관리 기관인 국가정보자원관리원 화재와 관계자 사망 사건으로 인해 국가 데이터에 대한 보안의 중요성도 더욱 커지고 있다.
[자료: gettyimagesbank]
문제는 앞으로 인공지능(AI) 시대가 본격화되고 양자 컴퓨터 시대가 열리게 되면 보안 이슈는 다른 어떤 국가 재난안전망보다 더 시급한 과제로 떠오를텐데 과연 우리의 대비태세나 수준을 신뢰할 수 있는지에 대한 의구심이 사그러들지 않고 있다는 점이다.
연초부터 SK텔레콤 유심 정보 유출, KT 소액 무단 결제, 롯데카드 고객 정보 유출, SGI보증보험 해킹 사태, 예스24 고객 정보 유출 등 감당하기 어려운 힘겨운 상황이 이어지고 있다. 앞으로의 전망도 아찔하기만 하다.
명령 프롬프트만 입력하면 사용자 요구에 딱 맞는 정보를 제공하는 AI 서비스도 ‘보안’을 신경 쓰지 않으면 편리함이 오히려 독으로 되돌아올 수 있다.
지난 2023년 3월, 삼성전자에서 임직원들이 생성형 AI 서비스인 챗GPT를 활용하던 중 기업의 내부 정보가 외부로 유출되는 난감한 사고가 발생하기도 했다.
유사 피해 사례는 해외에서도 찾아볼 수 있다. 지난해 1월, 홍콩의 한 금융회사에서 딥페이크 피싱으로 한화 약 342억 원 상당의 피해를 입는 금융사고가 터진 적도 있다. 사기범들은 화상 회의에서 고위 임원의 모습과 목소리를 딥페이크로 조작해 재무 담당자에게 거액의 자금 이체를 지시했다는 얘기에 섬뜩한 생각이 들기도 한다.
하지만 문제의 심각성에 비해 사이버 보안에 대한 예산 배정과 인력 확보는 굼벵이처럼 속도를 내지 못하고 있다.
보안 전문 언론 매체인 <보안뉴스>가 최근 국내 보안 분야 종사자 998명을 대상으로 진행한 설문조사를 분석한 결과다. 응답자들은 ‘연이은 보안 사고로 인한 보안 인식 변화’와 관련해 경각심을 갖게 된 경우가 85.2%로 대부분 인식 변화를 경험했다고 밝혔다. 전혀 영향을 받지 않았다는 비율은 14.8%를 기록했다.
이러한 ’관심‘이 보안 예산 투자라는 ‘행동’으로 이어진 기업의 수는 기대보다는 적은 편이었다. 보안 예산을 10% 이상 늘린 조직이 41.6%로 절반을 밑돌았다. 이 중에서 30% 이상 파격적인 보안 강화 행보를 보인 기업은 고작 8.6%에 불과했다. 예산 확대와 관련해 ‘계획 없음’이 40.5%로 가장 많았다.
여유가 부족한 기업일수록 눈앞에 닥치지 않은 잠재적 위험에 대해 투자를 집행하는 것에는 어려움이 있을 수밖에 없고 결국 투자의 우선순위에서 밀려나게 된다.
제도적 불확실성, 인프라 부족, 인력 격차 등의 이유도 있다. ‘AI기본법’이 국회를 통과하며 고위험 AI에 대한 보안 의무를 명문화했지만 현장에서는 아직 구체적인 기술 지침이나 평가 기준이 미비하다는 지적이 제기된다.
특히 중소기업과 스타트업은 생성형 AI 기반 서비스 개발에는 적극적이지만 이를 보호할 수 있는 보안 시스템 구축에는 여전히 역량과 예산이 부족한 상황이다. 전문 인력 부족도 AI 보안 확산의 장애 요인이다.
▲보안예산에 대한 빅데이터 감성 연관어 [자료: 인사이트케이]
일각에서는 기업의 매출액에 일정한 보안 예산 비율을 강제 연동시키는 법안을 통과시켜야 한다고 주장이 나오기도 한다. 이런 상황에서 빅데이터는 보안 예산에 대해 어떤 반응을 보일까. 빅데이터 심층 분석 도구인 썸트렌드(SomeTrend)로 지난 9월 9일부터 10월 8일까지 보안 예산에 대한 빅데이터 감성 연관어를 도출해 보았다.
보안 예산에 대한 빅데이터 감성 연관어는 ‘보상’, ‘부족하다’, ‘비판’, ‘피해’, ‘강화하다’, ‘논란’, ‘정보유출’, ‘의문’, ‘적합하다’, ‘평판’, ‘불안감’, ‘무료’, ‘취약하다’, ‘강하다’, ‘많은사용자’, ‘우려’, ‘독립적’, ‘충격적’, ‘심각한수준’, ‘취약’, ‘비판받다’, ‘불안’, ‘분노하다’, ‘해킹당하다’, ‘진화하다’, ‘강세’, ‘신뢰’, ‘큰타격’, ‘새로운기술’, ‘주목받다’ 등으로 나왔다(위 그림).
▲배종찬 연구소장 [자료: 인사이트케이]
분석 결과를 보더라도 보안이 국가와 기업의 존폐를 결정짓는 중대한 요소라는 사회적 인식 제고와 더불어 적극적 투자만이 추가 사고를 방지할 수 있음을 감지할 수 있다. 보안은 ‘심각’한 상황인데 예산 배정은 굼뜨고 ‘망각’하기 일쑤이니 사고의 대전환이 필요한 시점이다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
[보안뉴스=배종찬 인사이트케이 연구소장] 올해 들어 해킹, 스미싱, 피싱, 그리고 국가 정보 보안에 대한 심각성이 집중적으로 부각되고 있다. 9월 말 국가 데이터 핵심 관리 기관인 국가정보자원관리원 화재와 관계자 사망 사건으로 인해 국가 데이터에 대한 보안의 중요성도 더욱 커지고 있다.
[자료: gettyimagesbank]
문제는 앞으로 인공지능(AI) 시대가 본격화되고 양자 컴퓨터 시대가 열리게 되면 보안 이슈는 다른 어떤 국가 재난안전망보다 더 시급한 과제로 떠오를텐데 과연 우리의 대비태세나 수준을 신뢰할 수 있는지에 대한 의구심이 사그러들지 않고 있다는 점이다.
연초부터 SK텔레콤 유심 정보 유출, KT 소액 무단 결제, 롯데카드 고객 정보 유출, SGI보증보험 해킹 사태, 예스24 고객 정보 유출 등 감당하기 어려운 힘겨운 상황이 이어지고 있다. 앞으로의 전망도 아찔하기만 하다.
명령 프롬프트만 입력하면 사용자 요구에 딱 맞는 정보를 제공하는 AI 서비스도 ‘보안’을 신경 쓰지 않으면 편리함이 오히려 독으로 되돌아올 수 있다.
지난 2023년 3월, 삼성전자에서 임직원들이 생성형 AI 서비스인 챗GPT를 활용하던 중 기업의 내부 정보가 외부로 유출되는 난감한 사고가 발생하기도 했다.
유사 피해 사례는 해외에서도 찾아볼 수 있다. 지난해 1월, 홍콩의 한 금융회사에서 딥페이크 피싱으로 한화 약 342억 원 상당의 피해를 입는 금융사고가 터진 적도 있다. 사기범들은 화상 회의에서 고위 임원의 모습과 목소리를 딥페이크로 조작해 재무 담당자에게 거액의 자금 이체를 지시했다는 얘기에 섬뜩한 생각이 들기도 한다.
하지만 문제의 심각성에 비해 사이버 보안에 대한 예산 배정과 인력 확보는 굼벵이처럼 속도를 내지 못하고 있다.
보안 전문 언론 매체인 <보안뉴스>가 최근 국내 보안 분야 종사자 998명을 대상으로 진행한 설문조사를 분석한 결과다. 응답자들은 ‘연이은 보안 사고로 인한 보안 인식 변화’와 관련해 경각심을 갖게 된 경우가 85.2%로 대부분 인식 변화를 경험했다고 밝혔다. 전혀 영향을 받지 않았다는 비율은 14.8%를 기록했다.
이러한 ’관심‘이 보안 예산 투자라는 ‘행동’으로 이어진 기업의 수는 기대보다는 적은 편이었다. 보안 예산을 10% 이상 늘린 조직이 41.6%로 절반을 밑돌았다. 이 중에서 30% 이상 파격적인 보안 강화 행보를 보인 기업은 고작 8.6%에 불과했다. 예산 확대와 관련해 ‘계획 없음’이 40.5%로 가장 많았다.
여유가 부족한 기업일수록 눈앞에 닥치지 않은 잠재적 위험에 대해 투자를 집행하는 것에는 어려움이 있을 수밖에 없고 결국 투자의 우선순위에서 밀려나게 된다.
제도적 불확실성, 인프라 부족, 인력 격차 등의 이유도 있다. ‘AI기본법’이 국회를 통과하며 고위험 AI에 대한 보안 의무를 명문화했지만 현장에서는 아직 구체적인 기술 지침이나 평가 기준이 미비하다는 지적이 제기된다.
특히 중소기업과 스타트업은 생성형 AI 기반 서비스 개발에는 적극적이지만 이를 보호할 수 있는 보안 시스템 구축에는 여전히 역량과 예산이 부족한 상황이다. 전문 인력 부족도 AI 보안 확산의 장애 요인이다.
▲보안예산에 대한 빅데이터 감성 연관어 [자료: 인사이트케이]
일각에서는 기업의 매출액에 일정한 보안 예산 비율을 강제 연동시키는 법안을 통과시켜야 한다고 주장이 나오기도 한다. 이런 상황에서 빅데이터는 보안 예산에 대해 어떤 반응을 보일까. 빅데이터 심층 분석 도구인 썸트렌드(SomeTrend)로 지난 9월 9일부터 10월 8일까지 보안 예산에 대한 빅데이터 감성 연관어를 도출해 보았다.
보안 예산에 대한 빅데이터 감성 연관어는 ‘보상’, ‘부족하다’, ‘비판’, ‘피해’, ‘강화하다’, ‘논란’, ‘정보유출’, ‘의문’, ‘적합하다’, ‘평판’, ‘불안감’, ‘무료’, ‘취약하다’, ‘강하다’, ‘많은사용자’, ‘우려’, ‘독립적’, ‘충격적’, ‘심각한수준’, ‘취약’, ‘비판받다’, ‘불안’, ‘분노하다’, ‘해킹당하다’, ‘진화하다’, ‘강세’, ‘신뢰’, ‘큰타격’, ‘새로운기술’, ‘주목받다’ 등으로 나왔다(위 그림).
▲배종찬 연구소장 [자료: 인사이트케이]
분석 결과를 보더라도 보안이 국가와 기업의 존폐를 결정짓는 중대한 요소라는 사회적 인식 제고와 더불어 적극적 투자만이 추가 사고를 방지할 수 있음을 감지할 수 있다. 보안은 ‘심각’한 상황인데 예산 배정은 굼뜨고 ‘망각’하기 일쑤이니 사고의 대전환이 필요한 시점이다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)