AI 스스로 소프트웨어의 논리적 결함을 찾아내고, 인간 개입 없이도 공격 코드를 생성하는 시대
주기적인 사이버 리스크 점검 방식에서 벗어나, 지속 위협 관리로 보안 대응 방향 바꿔야
[보안뉴스= 안기동 유넷시스템즈 대표] 최근 엔트로픽이 발표한 새로운 모델 ‘미토스’(Mythos)는 사이버 보안 조직에 가혹한 질문을 던졌다. 인공지능(AI)이 스스로 소프트웨어의 논리적 결함을 찾아내고, 인간의 개입 없이도 공격 코드를 생성해내는 시대다. 이제 사이버 보안이 오랫동안 의존해왔던 핵심 방어 기제인 ‘시간’이라는 완충지대가 사라지고 있다.
[이미지: gettyimagesbank]
과거에는 취약점이 발견되고 이것이 실제 공격으로 이어지기까지 방어자가 대응할 수 있는 일정 수준의 ‘골든 타임’이 존재했다. 하지만 AI 기반의 공격 도구들이 취약점 발굴과 악용의 간격을 극단적으로 좁힌다. 기업들은 이제 ‘초단위’의 노출 리스크와 마주하게 됐다. 이러한 취약점 폭발 시대에 기업의 생존을 결정짓는 것은 얼마나 많은 보안 도구를 가졌느냐가 아니라, ‘얼마나 빨리 행동할 수 있느냐’이다.
글로벌 보안 플랫폼 해커원 데이터에 따르면, 최근 1년간 보안 취약점 제보 건수는 전년 대비 무려 76%나 급증했다. 흥미로운 점은 기업 대응 양상이다. 심각한 취약점에 대한 패치 속도는 과거 40일에서 15일 미만으로 비약적으로 빨라졌다. 그러나 역설적으로 전체 취약점 조치 속도는 160일에서 230일로 오히려 늦어지고 있다.
이는 조직이 리스크를 몰라서 당하는 것이 아님을 시사한다. 이미 알고 있는 수많은 노출 정보에 충분히 빠르게 대응하지 못하고 있는 것이 본질적인 문제다.
지난해 발생한 SK텔레콤의 해킹 사고도 이러한 ‘지연의 리스크’가 초래할 수 있는 파국을 여실히 보여준다. 보안팀은 정작 수정과 조치라는 실행의 영역에서는 병목 현상에 시달리고 있다.
기업은 주기적인 사이버 리스크 점검 방식에서 벗어나, 지속 위협 관리로 완전히 방법을 바꿔야 한다.
첫째, ‘리스크 기준선’(Baseline)을 완전히 재설정해야 한다. 발견과 악용 사이의 완충 시간은 이미 없어졌다. 짧아진 침해 타임라인을 새로운 표준으로 받아들여야 한다. 과거 기준치로 현재 리스크를 측정하는 것은 사고 가능성을 심각하게 과소평가하는 결과를 초래한다.
둘째, ‘지속 가능한 집단지성’을 방어 체계에 도입해야 한다. AI가 24시간 취약점을 찾는 시대에, 1년에 한두 번 진행하는 일회성 보안 점검은 무의미하다. 전 세계의 검증된 화이트해커들이 365일 실시간으로 시스템을 감시하는 체계가 필요하다. 다양한 시각을 가진 글로벌 전문가 집단을 활용하면, 내부 팀이 놓치기 쉬운 논리적 오류를 AI보다 먼저 찾아내 방어할 수 있다. 이는 실제 성과에 대해서만 보상하는 경제적 효율성까지 갖춘 강력한 대안이다.
셋째, ‘노출 지속 시간’을 이사회 수준의 핵심 지표로 높여야 한다. 단순히 보안 도구 도입보다 “악용 가능 여부를 검증하는 데 몇 시간이 걸리는가?”, “심각한 발견 사항을 조치하는 데 며칠이 소요되는가?”라는 질문에 답해야 한다. ‘며칠 이내’라는 명확한 답이 나오지 않는다면 그 조직은 중대한 보안 격차에 직면해 있는 것이다.
넷째, 보안 백로그(Backlog)를 재무제표상의 ‘부채’와 동일하게 취급해야 한다. 평균 조치 시간 230일이라는 수치는 기업이 수천 건의 미해결 취약점을 안고 있음을 의미한다. 이 하나하나가 공격자에게는 열려 있는 문이다. 노출을 생성하는 속도보다 빠르게 이를 제거하고 있는지를 재무적 건전성을 따지듯 엄격하게 관리해야 한다.
▲안기동 유넷시스템즈 대표[출처: 유넷시스템즈]
다섯째, 검증 속도를 핵심 역량으로 내재화해야 한다. 수많은 취약점 중 실제로 악용 가능한 것은 일부에 불과하다. 검증이 느리면 보안 팀은 노이즈를 쫓느라 실제 리스크를 놓치게 된다. 탐지에만 최적화된 조직은 결코 AI의 속도를 따라잡을 수 없다. 의사결정과 실행에 최적화된 시스템만이 실질적인 리스크를 줄일 수 있다.
AI 기반 공격 시대는 방어자에게 더 높은 지능이 아닌, 더 빠른 행동을 요구한다. 조직을 제약하는 것은 더 이상 ‘무엇을 찾을 수 있느냐’가 아니다. ‘찾아낸 것에 대해 얼마나 빨리 움직일 수 있는가’이다.
기업 대표와 보안 책임자들은 이제 스스로의 시계를 다시 맞춰야 한다. 공격자의 시계가 빛의 속도로 움직일 때, 방어자의 시계가 여전히 수개월 단위에 머물러 있다면 결과는 자명하다. 기술적 우위를 넘어, 실행의 속도를 경쟁력으로 삼는 조직만이 이 ‘취약점 폭발의 시대’를 안전하게 건널 수 있을 것이다.
[글_ 안기동 유넷시스템즈 대표]
주기적인 사이버 리스크 점검 방식에서 벗어나, 지속 위협 관리로 보안 대응 방향 바꿔야
[보안뉴스= 안기동 유넷시스템즈 대표] 최근 엔트로픽이 발표한 새로운 모델 ‘미토스’(Mythos)는 사이버 보안 조직에 가혹한 질문을 던졌다. 인공지능(AI)이 스스로 소프트웨어의 논리적 결함을 찾아내고, 인간의 개입 없이도 공격 코드를 생성해내는 시대다. 이제 사이버 보안이 오랫동안 의존해왔던 핵심 방어 기제인 ‘시간’이라는 완충지대가 사라지고 있다.
[이미지: gettyimagesbank]
과거에는 취약점이 발견되고 이것이 실제 공격으로 이어지기까지 방어자가 대응할 수 있는 일정 수준의 ‘골든 타임’이 존재했다. 하지만 AI 기반의 공격 도구들이 취약점 발굴과 악용의 간격을 극단적으로 좁힌다. 기업들은 이제 ‘초단위’의 노출 리스크와 마주하게 됐다. 이러한 취약점 폭발 시대에 기업의 생존을 결정짓는 것은 얼마나 많은 보안 도구를 가졌느냐가 아니라, ‘얼마나 빨리 행동할 수 있느냐’이다.
글로벌 보안 플랫폼 해커원 데이터에 따르면, 최근 1년간 보안 취약점 제보 건수는 전년 대비 무려 76%나 급증했다. 흥미로운 점은 기업 대응 양상이다. 심각한 취약점에 대한 패치 속도는 과거 40일에서 15일 미만으로 비약적으로 빨라졌다. 그러나 역설적으로 전체 취약점 조치 속도는 160일에서 230일로 오히려 늦어지고 있다.
이는 조직이 리스크를 몰라서 당하는 것이 아님을 시사한다. 이미 알고 있는 수많은 노출 정보에 충분히 빠르게 대응하지 못하고 있는 것이 본질적인 문제다.
지난해 발생한 SK텔레콤의 해킹 사고도 이러한 ‘지연의 리스크’가 초래할 수 있는 파국을 여실히 보여준다. 보안팀은 정작 수정과 조치라는 실행의 영역에서는 병목 현상에 시달리고 있다.
기업은 주기적인 사이버 리스크 점검 방식에서 벗어나, 지속 위협 관리로 완전히 방법을 바꿔야 한다.
첫째, ‘리스크 기준선’(Baseline)을 완전히 재설정해야 한다. 발견과 악용 사이의 완충 시간은 이미 없어졌다. 짧아진 침해 타임라인을 새로운 표준으로 받아들여야 한다. 과거 기준치로 현재 리스크를 측정하는 것은 사고 가능성을 심각하게 과소평가하는 결과를 초래한다.
둘째, ‘지속 가능한 집단지성’을 방어 체계에 도입해야 한다. AI가 24시간 취약점을 찾는 시대에, 1년에 한두 번 진행하는 일회성 보안 점검은 무의미하다. 전 세계의 검증된 화이트해커들이 365일 실시간으로 시스템을 감시하는 체계가 필요하다. 다양한 시각을 가진 글로벌 전문가 집단을 활용하면, 내부 팀이 놓치기 쉬운 논리적 오류를 AI보다 먼저 찾아내 방어할 수 있다. 이는 실제 성과에 대해서만 보상하는 경제적 효율성까지 갖춘 강력한 대안이다.
셋째, ‘노출 지속 시간’을 이사회 수준의 핵심 지표로 높여야 한다. 단순히 보안 도구 도입보다 “악용 가능 여부를 검증하는 데 몇 시간이 걸리는가?”, “심각한 발견 사항을 조치하는 데 며칠이 소요되는가?”라는 질문에 답해야 한다. ‘며칠 이내’라는 명확한 답이 나오지 않는다면 그 조직은 중대한 보안 격차에 직면해 있는 것이다.
넷째, 보안 백로그(Backlog)를 재무제표상의 ‘부채’와 동일하게 취급해야 한다. 평균 조치 시간 230일이라는 수치는 기업이 수천 건의 미해결 취약점을 안고 있음을 의미한다. 이 하나하나가 공격자에게는 열려 있는 문이다. 노출을 생성하는 속도보다 빠르게 이를 제거하고 있는지를 재무적 건전성을 따지듯 엄격하게 관리해야 한다.
▲안기동 유넷시스템즈 대표[출처: 유넷시스템즈]
다섯째, 검증 속도를 핵심 역량으로 내재화해야 한다. 수많은 취약점 중 실제로 악용 가능한 것은 일부에 불과하다. 검증이 느리면 보안 팀은 노이즈를 쫓느라 실제 리스크를 놓치게 된다. 탐지에만 최적화된 조직은 결코 AI의 속도를 따라잡을 수 없다. 의사결정과 실행에 최적화된 시스템만이 실질적인 리스크를 줄일 수 있다.
AI 기반 공격 시대는 방어자에게 더 높은 지능이 아닌, 더 빠른 행동을 요구한다. 조직을 제약하는 것은 더 이상 ‘무엇을 찾을 수 있느냐’가 아니다. ‘찾아낸 것에 대해 얼마나 빨리 움직일 수 있는가’이다.
기업 대표와 보안 책임자들은 이제 스스로의 시계를 다시 맞춰야 한다. 공격자의 시계가 빛의 속도로 움직일 때, 방어자의 시계가 여전히 수개월 단위에 머물러 있다면 결과는 자명하다. 기술적 우위를 넘어, 실행의 속도를 경쟁력으로 삼는 조직만이 이 ‘취약점 폭발의 시대’를 안전하게 건널 수 있을 것이다.
[글_ 안기동 유넷시스템즈 대표]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.png)
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
