리서치 회사인 Sapio Research가 Hewlett Packard Enterprise의 의뢰로 실시한 조사에 따르면 거의 모든 조직에서 AI가 보안 위험을 증가시키고 있다고 합니다.
설문조사에 참여한 IT 리더의 94%는 AI로 인해 보안 위험이 증가했다고 응답했습니다.
“응답자들은 보안을 AI 성공의 가장 중요한 요소로 꼽았으며, 이는 데이터 관리에 이어 두 번째로 높은 AI 투자 우선순위로 꼽힌 이유이기도 합니다. 이를 인식한 기업들은 스스로를 보호하기 위해 다양한 보안 방법을 도입하고 있습니다.”라고 보고서는 설명합니다.
AI와 보안 위험
기업들은 AI의 악의적인 사용, 특히 생성형 AI로 인한 위험에 대해 우려하고 있습니다.
특히나, AI는 다음과 같은 사이버 공격에서 그 존재감이 점점 커지고 있습니다:
- 비밀번호 크래킹: 해커는 AI를 사용하여 정교한 알고리즘을 만들어 비밀번호를 정확하게 추측하고 잠재적인 비밀번호의 방대한 데이터 세트를 훨씬 더 빠르게 선별할 수 있습니다.
- AI 지원 피싱: 악의적인 공격자는 민감한 정보를 요청하는 것을 AI를 사용하여 탐지하기 어렵게 만들 수 있습니다. 예를 들어 GenAI 도구를 사용하여 이메일과 텍스트의 문법을 개선할 수 있습니다.
- 딥페이크: 악의적인 공격자는 GenAI 도구를 사용하여 가짜 이미지 및/또는 오디오를 생성한 다음 다른 사람을 사칭하거나 명예를 훼손하는 데 사용할 수 있습니다. AI로 생성된 인공물은 식별하기 어려울 수 있습니다.
- 랜섬웨어: 랜섬웨어 eBook에서와 같이 널리 퍼지고 복잡한 공격에서 범죄자(종종 조직 범죄 그룹의 일원)는 다양한 방법을 사용하여 기업 시스템에 중요한 데이터를 암호화하는 멀웨어를 설치할 수 있습니다. AI 도구는 랜섬웨어 공격 체인을 가속화할 수 있습니다.
“Architect an AI Advantage” 보고서는 기업들의 AI 도입과 관련된 위협에 대해서도 우려하고 있다고 말합니다. 설문조사에 참여한 응답자들은 가장 우려되는 보안 고려 사항을 묻는 질문에 몇 가지 주요 AI 사이버 위험을 꼽았습니다.
당연히 AI 데이터 세트에 대한 액세스 보안과 액세스 보안 실패로 인한 개인 정보 보호에 대해서도 걱정합니다.
데이터를 안전하게 분리하여 보관하는 것은 EU의 NIS2 및 GDPR, 미국의 HIPAA와 같은 NIST 프레임워크에 기반한 많은 규정 준수 의무의 요구 조건니다. 이러한 요구 사항을 준수하지 않으면 상당한 벌금이 부과될 수 있습니다. 그러나 AI 이점 설계 보고서에 따르면 조직 4곳 중 1곳(22%)은 AI 전략 논의에 법무팀이 참여하지 않는 것으로 나타났습니다.
위험과 혁신 사이의 지속적인 긴장 관계
위험, 컴플라이언스 준수, 혁신 사이의 균형 잡기란 AI에만 국한된 문제가 아닙니다. 실제로 2023년 보고서인 ‘혁신 대 위험의 딜레마’에서는 조직이 혁신, 성장, 위험 사이에서 미묘한 균형을 유지해야 한다는 점을 강조했습니다.
이 보고서에 따르면 혁신 성숙도가 높은 조직은 매출이 20% 이상 증가할 가능성이 거의 두 배나 높았습니다. 동시에 IT 리더의 약 3분의 2(64%)가 잠재적인 보안 침해에 대한 우려로 인해 조직의 혁신 기술에 대한 투자 의지가 부정적인 영향을 받는다고 답했습니다.
AI 도입에는 보안, 개인정보 보호, 거버넌스 및 규정 준수 조치가 복잡하게 혼합되어 있으며, 이를 대규모로 조율하고 구현해야 합니다. 네트워크 팀과 보안 팀은 이러한 의무의 균형을 어떻게 맞출까요?
앞으로 나아갈 길: “제로 트러스트 보안”
사용자, 디바이스, 애플리케이션, 데이터를 모든 연결 지점에서 보호해야 할 때 제로 트러스트는 많은 보안이나 컴플라이언스 준수에 필요한 사항들에 대해 답을 줄 수 있습니다.
특히 제로 트러스트 보안은 중요한 AI 자산이 분산되어 있고 진화하는 위협이 기존의 경계 방어를 우회할 수 있는 AI 시대에 보호를 강화할 수 있습니다. 주로 내부망과 외부망 사이의 경계 보안에만 의존하는 기존의 접근 방식과 달리 제로 트러스트 모델은 연결 방법이나 위치에 관계없이 사용자나 디바이스를 신뢰하지 않고, 필요한 리소스에만 액세스 권한을 부여하며, 지속적으로 검사를 수행하도록 합니다.
제로 트러스트 보안은 다양한 AI 위험으로부터 기업을 보호하는 데 도움이 될 수 있습니다.
예를 들어, 악의적인 공격자는 기업이 AI 모델과 애플리케이션을 학습하고 구현하는 데 사용하는 수많은 데이터를 표적으로 삼을 수 있습니다. AI 학습을 위한 데이터를 생성하는 IoT 디바이스가 관리되고 있지 않다면, 이러한 공격의 잠재적 진입점이 될 수 있습니다.
각각의 단말을 정확하게 프로파일링 및 식별하고 동작을 지속적으로 모니터링하는 포괄적인 제로 트러스트 보안 제어는 인프라 공격을 예방하고 탐지하는 데 도움이 될 수 있습니다.
또한 제로 트러스트 보안은 랜섬웨어와 같은 AI를 이용한 공격으로부터 조직을 보호할 수 있습니다.
예를 들어, 내부의 엔드포인트 단말을 통해 공격이 시작되면 EDR 및 XDR 시스템이 비정상적인 행동을 분석하고 탐지하여 경보를 발령할 수 있습니다. IT 팀은 위협 분석 데이터를 기반으로 네트워크 접근 제어 및 대응을 자동화하는 정책을 정의할 수 있습니다.
연결된 단말이 공격에 가담하는 경우 네트워크 접근 제어는 추가 조사가 진행될 때까지 네트워크 액세스를 자동으로 제한하거나 취소하여 공격의 확산을 차단할 수 있습니다.
Dynamic Segmentation, 역할 기반 접근 제어, 네트워크 인프라 전반의 지속적인 정책 시행과 같은 제로 트러스트 Best Practice는 사용자와 디바이스가 자신의 역할, 컨텍스트, 보안 상태에 부합하는 대상 및 애플리케이션과만 통신하도록 보장합니다.
예를 들어 사용자가 AI를 이용한 피싱 공격의 희생양이 되었더라도 이러한 제로트러스트 보안을 통해 침해된 단말이 외부 멀웨어 사이트에 접속하거나 기업의 내부 리소스에 접근하는 것을 차단할 수 있게 됩니다.
AI 시대의 네트워크의 새로운 역할
AI 시대에서 네트워크는 전체 제로 트러스트 보안 생태계에서 제로 트러스트 솔루션으로서 필수적인 역할을 담당합니다.
단일 제조사나 솔루션이 필요한 모든 AI 사이버 보안을 제공할 수는 없습니다. 하지만, 그 기반을 제공하는 네트워크에서부터 제로트러스트 보안을 시작하면 중요한 디지털 자산에 대한 보호를 강화하면서 AI 보안 및 규정 준수 요구 사항을 더 쉽게 구현할 수 있습니다.
보안을 최우선으로 하는 HPE Aruba Networking의 AI 기반 네트워킹은 제로 트러스트 원칙에 따라 구축되어 사이버 보안 보호에 영향을 주지 않으면서 차별화된 경험과 혁신적인 비즈니스 결과를 이끌어낼 수 있는 기반을 제공합니다.
이제 HPE Aruba Networking을 통해 네트워크는 단일 플랫폼에서 고급 가시성, 인사이트, 중앙 집중식 정책 관리, 데이터 보호, 위협 방어, 액세스 제어를 제공할 수 있습니다. 또한 IT와 보안팀은 위험을 완화하고 대규모로 보호를 강화하는 AI 기반 기능을 통해 AI 위협에 대응하는 데 있어 AI 우위를 확보할 수 있습니다.
Reference
- HPE Blog: Zero Trust Security in the AI era by Eve-Maria Lanza
- HPE Aruba Networking Blog: Combatting ransomware with layered Zero Trust Security by Eve-Maria Lanza
