꼰머의 보안공부

보안뉴스

1. 공격자보다 한발 앞서라: 사이버 위협 헌팅의 새로운 패러다임

- Threat Hunting

> Red, Blue, Puple Team 구성이 필수적

> 각 보안 솔루션을 개별적이 아닌 상호 연관적으로 운용해야 함

2. AI 혁신의 기회와 위험 관리의 균형 사이, 사이버 보안의 미래는?

- AI를 사용해 공격자들이 더 설득력 있는 피싱 메시지를 작성할 수 있음

> 잘못된 절차, 어색한 문법 등이 줄어들어 직원들이 피싱 메일로 판단/식별하기 어려워짐

> XDR을 활용해 의심스러운 송신자, 헤더와 콘텐츠 등을 분석 및 탐지할 수 있도록하고, 직원 교육 강화

- AI를 사용해 오디오/비디오로 직원을 속일 수 있는 딥페이크를 만들 수 있음

> 오디오/비디오를 활용해 사기, 계정탈취, 데이터 유출 등이 이루어질 수 있음

> 임원들의 비정상 지시에 대해 직원이 검증할 수 있는 권한을 부여하거나, 딥페이크를 탐지하는 기술 등이 필요

- AI를 사용해 데이터 유출 위험이 발생할 수 있음

- AI 혁신과 AI 이니셔티브 보안의 적절한 균형이 필요

> AI를 활용한 오용 및 사기에 대해 미리 대비, 솔루션 활용, 위험 평가, 지속적 모니터링 등

3. 해커들의 새로운 타겟–귀사의 API는 안전하십니까?

- API 보안이 중요한 이유

> 웹 트래픽의 83%는 Digital Transformation을 주도하는데 중요한 API에 기인

> 기업의 72%는 API 인증/인가와 관련된 문제로 인해 새로운 앱 및 서비스 개선사항의 출시가 지연되는 것을 경험

> 기업의 44%는 내/외부 API에서 개인정보 보호 및 데이터 유출과 관련된 보안문제를 경험

> API와 웹 애플리케이션을 대상으로 한 악성 요청의 비율은 2022년 54%에서 2023년 70%로 16% 증가

4. 새로운 패러다임에 대응하는 시스템 보안

- 시스템 접근제어의 시작 : 시스템 접속 권한을 가진 내/외부 사용자에 의한 보안사고가 빈번하게 발생

> 등장 전 : 시스템별로 다양한 사용자가 접근해 접속 이력과 로그 분산, 실수로 인한 시스템 장애, 주요 데이터 유출 등의 가능성이 높았음

> 초기 Gateway 모델 : 모든 시스템에 접속하기 위한 단일 게이트웨이를 구축해 접근 경로를 단일화하고, 로그 통합 관리, 실수로 인한 장애 가능성 최소화, 데이터 보호 등 관리 효율성을 마련

- 패러다임 변화와 개인정보 및 기밀정보 유출 방지를 위해 시스템 접근제어에서 바뀌어야 할 핵심 요소

5. 사이버 위협 대응 관점에서 바라보는 개인정보 유출 사고 방지 방안

- 경계 중심 보안에서 복원을 위해 중요자산을 보호하는 대응중심으로 IT 환경 변화

- 이기종 보안 솔루션 운영

- XDR(eXtended Detection & Rseponse)

> 위협 이벤트를 자동으로 수집하고 상호 연결하는 탐지 & 대응 플랫폼

> 분리되어 있던 위험 인자를 단일 플랫폼으로 통합 및 연결

> 복수의 알림을 하나의 침해로 도출

> 자동화된 대응을 바탕으로 보안의 효율성과 생산성 개선

> EDR, 네트워크 탐지, 위협 인텔리전스로 구성

6. 트랜잭션 및 실시간 수집 데이터의 비식별처리 기술

- 트랜잭션 데이터 : 일종의 반정형 데이터로 하나의 데이터 셀 내에 여러 아이템들이 집합으로 구성되어 있는 비정형 데이터

- 실시간 수집 데이터 : 송신 모듈을 통해 즉시 전달되어 지속적으로 생성/수집되는 데이터

7. 공격표면관리(ASM)와 위협인텔리전스(TI)

- 공격표면관리 (ASM, Attack Surface Management)

> 전 세계 모든 IP에 접속하여 기업의 자산을 탐지하는 사전 예방 목적

> 수집된 자산들이 어떤 취약점, 보안문제를 가지고 있는지 분류, 탐지

> Gartner : AMS은 조직이 인식하지 못할 수 있는 인터넷 연결 자산 및 시스템에서 오는 위험을 식별하는데 도움을 주는 새로운 솔루션이다. 최근 기업에 대한 성공적인 공격의 1/3 이상이 외부와 연결된 자산으로부터 시작되며 ASM은 CIO. CISO에게 필수의 과제가 될 것이다.

> FORRESTER : 조직은 ASM을 통해 평균적으로 30% 이상의 아려지지 않은 외부 자산을 발견한다. 일부는 알려진 자산의 몇 배나 더 많은 자산을 발견하기도 한다.

- 위협 인텔리전스 (TI, Threat Intelligence)

> 공격에 사용된 IP/URL 등에 대한 관련 정보(과거 공격 이력 또는 연관성 등)를 제공하는 대응 목적

8. 생성형 AI 보안 위협과 안전한 생성형AI 운용 방안

- Deepfake, 아동 성 학대 사진 생성/유포 등 생성형 AI를 사용한 새로운 위협이 등장

- OWASP Top 10 for LLM Appliocations 2025

> LLM01 2025:Prompt Injection : 사용자입력(프롬프트)을 악의적으로 조작하여 LLM의 행동이나 출력 결과를 의도와 다르게 변경하는 취약점

> LLM02 2025:Sensitive Information Disclosure : LLM이 민감한 개인 정보, 기밀 데이터 또는 독점 알고리즘 정보를 의도치 않게 노출하는 취약점

> LLM03 2025:Supply Chain : LLM 개발 및 운영에 사용되는 서드파티 구성 요소, 데이터셋 및 사전 학습 모델에서 발생하는 공급망 취약점

> LLM04 2025:Data and Model Poisoning : 학습 데이터나 모델 파라미터를 악의적으로 변조하여 취약점을 주입하는 공격

> LLM05 2025:Improper Output Handling : LLM의 출력이 충분히 검증, 정제, Sandboxing 되지 않을 경우 발생하는 문제

> LLM06 2025:Excessive Agency : LLM이 지나치게 자율적인 행동을 수행하도록 허용. 인간의 직접적인 통제 없이 예기치 않은 결과나 악의적 행동 발생

> LLM07 2025:System Prompt Leakage : LLM이 내부 지시사항이나 운영 설정 정보를 의도치 않게 외부에 공개하는 취약점

> LLM08 2025:Vector and Embedding Weaknesses : Retrieval-Augmented Generation(RAG) 시스템에서 사용되는 벡터 표현 및 임베딩 기법의 결함으로 인한 문제. 부정확한 검색 결과, 조작된 문맥, 또는 민감 데이터 노출 발생

> LLM09 2025:Misinformation : LLM이사실과다른,또는왜곡된정보를생성하여잘못된결정을유도하는취약점 환각(hallucination)및학습데이터의편향등이주요원인으로작용하며,법적,평판,안전문제를야기

> LLM10 2025:Unbounded Consumption : LLM이과도하고통제되지않은요청을처리함으로써시스템자원(메모리,CPU,비용등)이고갈되는취약점

- 가장 중요하게 뵈야할 문제 : LLM01 2025:Prompt Injection

> AI에 악의적인 프롬프트를 주입하여 공격자가 의도하는 동작으로 유도

> Direct Injection (생성형 AI에 공격자가 직접 프롬프트 주입) or Indirect Injection (공격자가 데이터에 프롬프트 주입하여 접근하는 AI감염)

> 멀웨어 생성 및 개선, 유해 컨텐츠 생성, 데이터 유출, 모욕, 시스템 프롬프트 유출 등이 발생할 수 있음

- 대부분은 Prompt Injection은 Jailbreaking 기법을 사용

> AI의 제한(가드레일)이나 안전 필터를 우회 하거나 완화하기 위한 방법

> Context Ignoring, 참조 usal Suppression, Style Injection, Virtualization, Obfuscation 등의 패턴

9. 제로트러스트 가이드라인 2.0 주요 내용 및 향후 방향

- 제로트러스트 도입 과정을 보다 구체화하고 도입 수준을 분석할 수 있는 방안 제시

> 미국 CISA, NSA 등 문서 발간에 맞추어 성숙도 모델을 4단계 수준으로 정의 및 성숙도를 토대로 체크리스트 구현

> 도입 절차에 대한 방향성 구체화 및 조직 내 역할 및 목표 설정 방안 제시

> 보안 수준 평가 방법 제공

- 향후방향

> 각 산업 분야 및 기업 도메인 특성을 반영한 맞춤형 도입 전략 및 로드맵 제시 필요

> 우리나라에서도 글로벌 제로트러스트 도입 흐름을 적극 반영하여, ZT 아키텍처 도입 정책을 수립하고 관련 기술 개발 가속화 필요

> 제로트러스트 도입 후 발생하는 문제를 해결하기 위한 방안 마련과 지속적인 연구가 필요

> NIST 1800-35, 800-53, ISMS-P, 금융보안원 취약점 점검 리스트를 토대로 새로운 형태의 체크리스트 구현 중

본 게시글은 DeepSeek 논문과 구글링 결과 및 개인적인 생각를 정리한 글로, 정확하지 않을 수 있습니다.
혹여 잘못된 내용이 있다면, 알려주시면 감사하겠습니다.

1. 개요

- 중국 AI 스타트업이 개발한 오픈소스 기반의 LLM, DeepSeek
- GPT-4와 유사한 수준의 성능을 제공하면서도, 훨씬 적은 자원으로 훈련
- 주로 자연어 처리와 생성 AI 모델에 특화된 기술을 제공
- 기술 혁신과 AI 기조를 파괴하였으나, 보안과 관련된 주요 문제점이 대두

2. DeepSeek 주요 기술

- 기존 AI 서비스를 개발하고 배포 및 운영하는 데에는 많은 비용과 시간, 공간이 필요
> OpenAI, Anthropic 등의 기업들은 계산에만 1억 달러 이상을 소비
> 또한, 계산을 위한 수 천대의 GPU가 필요하며, 이를 위한 대규모 데이터 센터를 운용

- 그러나, DeepSeek은 GPT-4 개발 비용의 약 1/17 수준에 불과한 약 600달러로 개발

① FP8 Mixed Precision Training

- 일반적으로 신경망의 크기가 커질수록 성능이 향상되나, 메모리와 컴퓨팅에 대한 문제가 발생
> 혼합 정밀도 훈련 (Mixed Precision Training)은 모델의 정확도와 파라미터에 영향을 끼치지 않고, 메모리 요구사항을 줄이고 GPU 산출 속도를 높일 수 있는 신경망 훈련 방법
> 혼합 정밀도 훈련은 모델 학습 과정에서 부동 소수점(Floating-Point Numbers) 연산 정밀도를 혼합하여 사용하며, 주로 FP16, FP32를 혼합하여 사용함
> 숫자가 높을수록 모델의 정확도가 높아지나, 메모리를 많이 사용하는 단점을 지님

- DeepSeek에서는 FP8이라는 저비트 연산 체계를 도입하여 연산 효율성과 메모리 사용 효율을 극대화

* NVDIA 연구를 통해 FP8은 FP16 대비 2배 높은 성능을 제공하고, 2배 낮은 메모리 사용량을 가지는 것이 확인

② DeepSeek MoE (Mixture of Experts)

- MoE (Mixture of Experts)란 게이팅 네트워크를 통해 각각의 입력에 가장 관련성이 높은 전문가 모델을 선택하는 방식으로 여러 전문가 모델 간에 작업을 분할

> 게이팅 네트워크 (Gating Network)란 입력 데이터에 따라 다른 전문가 (Expert) 모델을 동적으로 선택하는 역할을 하는 신경망

> 입력은 라우터를 사용해 적절한 각 전문가 모델로 전달되어 처리되며, 데이터를 효율적으로 처리할 수 있음
> 일반적으로 기존 MoE는 8~16개의 전문가를 두고 특정 토큰이 특정 전문가로 라우팅 되도록 하지만, 하나의 전문가가 다양한 토큰을 처리하게 됨
> 또한 서로 다른 전문가들이 같은 지식을 학습하는 지식 중복의 문제가 발생

- DeepSeek은 2 가지를 활용해 MoE의 성능을 개선

⒜ Fine-grained Expert Segmentation (세분화된 전문가 모델 분류)

- 각 전문가를 더 작고, 더 집중된 기능을 하는 부분들로 세분화하여 하나의 전문가가 보다 세분화된 특정 영역의 지식을 집중적으로 학습하도록 유도

⒝ Shared Expert Isolation (공유 전문가의 분리)

- 여러 작업에 필요한 공통 지식을 처리할 수 있는 공유 전문가를 분리 및 항상 활성화시켜 공통 지식을 처리하도록 하여 지식 중복을 줄이고, 각 전문가들은 고유하고 특화된 영역에 집중할 수 있음

- 또한, 기존 MoE에서는 특정 전문가에게 토큰이 몰려 학습 및 추론에서 성능상 문제가 생기는 것을 방지 하기위해 Auxiliary Loss(부가 손실)를 추가로 도입해 로드 밸런싱
> 부가 손실을 추가하여 균형을 맞출 수 있으나, 각 모델의 성능을 저하시킬 위험이 있음

- DeepSeek MoE에서는 Aux-Loss-Free Strategy (부하 균형)를 활용해 이러한 문제를 해결
> 각 전문가마다 Bias를 두고 과부하/과소부하 상태를 모니터링해 해당 값을 감소/증가 시킴

> 부하 균형이 개별 시퀀스 내에서 부하 불균형이 발생할 수 있어, 시퀀스 단위에서 부하 균형을 유지하기 위한 추가적인 보조 손실을 도입 (Complementary Sequence-Wise Auxiliary Loss, 보조 시퀀스 손실)
> 기존 MoE에서 특정 전문가에게 과부하가 걸리는 현상을 해결 하기위해 하나의 전문가가 담당하는 토큰 수를 제한하여 부하를 분산 (Node-Limited Routing, 노드 제한 라우팅)
> 기존 MoE에서 토큰을 균등하게 분배하지 못하는 경우 부하를 줄이기 위해 초과된 토큰을 Drop하는 방식을 사용하였으나, 정보 손실과 모델 품질을 하락 시키기 때문에, 모든 입력 토큰을 반드시 처리하도록 보장 (No Token-Dropping, 토큰 드롭 없음)

- MoE 모델의 효율성을 높이고, 성능 저하 없이 안정적인 추론이 가능하며, 기존 MoE 모델보다계산 자원을 효율적을 사용하고 높은 품질의 결과를 제공

③ Multi-Head Latent Attention (MLA)  

- Attention : 입력 데이터의 중요한 부분에 가중치를 부여하여 모델이 더 집중할 수 있도록 하는 메커니즘으로, 어떤 정보가 더 중요한지를 학습하여 가중치를 동적으로 조절
- Self-Attention : 주어진 입력 내의 각 단어나 토큰이 다른 단어와 얼마나 관련되어 있는지를 계산하는 메커니즘으로, 각 단어는 다른 모든 단어에 대한 가중치를 부여해 중요성과 문맥을 파악
- Multi-Head Attention : 하나의 Self-Attention을 여러 헤드로 나누어 동시에 수행하는 방식으로, 모델이 입력 데이터를 여러 각도에서 분석할 수 있게 하여, 정보를 더 풍부하게 처리
> Query(Q : 현재 처리하고 있는 단어나 시퀀스 부분), Key(K : 비교 대상인 다른 단어나 시퀀스 부분), Value(V : 최종적으로 가중치를 적용 받는 단어나 시퀀스 부분) 행렬을 각각 생성
> 기존 Multi-Head Attention에서는 모든 헤드별로 Key, Value를 그대로 저장해 활용함
> 따라서, 모델 규모가 커질수록 Key-Value Cache에 대한 메모리 사용량이 급증해 연산 속도를 저하시킴

- DeepSeek에서는 Multi-Head Latent Attention(MLA)를 도입하여 Key-Value 데이터를 압축해 더 적은 메모리로도 동일한 성능을 유지하도록 설계됨

④ Multi-Token Prediction (MTP)

- Multi-Token Prediction (MTP)란 다음 여러 토큰을 순차적으로 예측하여 생성 속도를 향상시키고 학습 신호를 풍부하게 함
> t 시점에 t+1, t+2, t+3…을 예측하여 데이터에서 얻을 수 있는 신호가 더 촘촘해져 더 나은 정확도를 달성

⑤ 기타

- 각 토큰마다 활성화되는 파라미터를 370억 개로 제한하여 계산 효율성을 높이면서도, 높은 성능을 유지
- 학습을 통해 128,000자까지 문맥을 확장해 긴 문서나 대화를 자연스럽게 처리할 수 있도록 함

3. DeepSeek 보안 논쟁

① OpenSource 공급망 공격

- DeepSeek는 오픈소스로 배포되고 있기 때문에 공급망 공격의 대상이 될 가능성이 높음

> 개발의 효율성을 높이기 위해 오픈소스를 자주 활용하나, 오픈소스 소프트웨어는 공급망 공격에 취약
> 악성코드를 삽입하거나, 악성코드를 포함한 유사한 이름의 패키지를 업로드 하는 등의 방법으로 공격을 진행

② 중국 소프트웨어 정보 탈취 문제 

- 중국에서 개발된 소프트웨어 및 하드웨어에서 정보 탈취, 백도어가 포함되어 있다는 의심과 실 사례 존재

③ 중국 소프트웨어 사용 금지 움직임

- 미국 FCC는 ‘국가 안보 위협 중국 통신장비 및 영상감시장비 승인 금지’를 발표해 통신장비, CCTV, IoT, 해저케이블 등에서 중국 기업의 장비와 서비스 사용을 금지하였으며, 기존에 설치한 장비와 서비스는 제거
- 미국, 유럽 등 여러 국가에서 틱톡이 사용자의 데이터를 중국으로 전송할 가능성이 있다는 점이 우려되어 틱톡 사용 금지 조치가 시행되거나 논의되고 있는 중
- 인도에서는 틱톡을 포함한 59개 중국 앱이 금지되었으며, 미국에서는 공무원 및 정부 기관에서 사용하는 기기에 틱톡 사용을 금지하는 법안이 통과

- 미국 의회, 해군, NASA, 펜타곤, 텍사스 주 정부 등도 딥시크 앱의 사용을 금지

- 호주, 이탈리아, 네덜란드, 대만, 한국 등 여러 국가에서도 정부 기기에서의 앱 사용을 금지하는 조치
> 국내에서는 환경부, 보건복지부, 여성가족부, 경찰청 등의 정부 부처와 현대차, 기아, 모비스 등의 기업에서 DeepSeek를 접속할 수 없도록 차단

④ DeepSeek 자체 보안 문제

- DeepSeek 자체적으로도 보안 문제가 보고된 사례가 있음

⑤ 기타

- 생성형 AI 서비스의 올바르지 못한 사용
> 개인정보, 민감정보 등이 포함된 파일을 업로드하여 사용하는 경우가 있음
> 생성형 AI 도구들의 입력 데이터를 분석한 결과 전체 입력 데이터 중 8.5%가 민감정보를 포함
> 탈옥으로 보안 조치를 우회해 악성코드, 피싱메일, 공격 툴 등을 생성해 악용

4. 시사점

① 경제성 측면

- DeepSeek의 가장 큰 장점은 경제적 효율성으로 기존 AI 모델 대비 저비용, 고효율 AI 훈련 및 운영이 가능

② 보안성 측면

- 경제적 효율성이 뛰어나지만, 보안 리스크가 존재하는 AI 모델로 도입 시 경제성과 보안성 간의 균형을 고려할 필요

1. 국내외 AI 규제 현황 및 금융분야 AI 거버넌스

- 인공지능 관련 정책이나 거버넌스

> 다른 신기술과 달리 인간의 판단을 대행하기 때문에 다른 신기술에 비해 정책이나 거버넌스 마련이 굉장히 중요

- 국내 금융권 AI 활용 현황

> 국내 금융권은 금융안전성, 신뢰성, 금융투자자 보호가 중요하므로 다소 제한적ㆍ보수적 AI 활용

> 생성형 AI는 망분리 규제로 실 활용에 제약이 있었으나, 최근 망분리 규제 개선으로 활용 확대가 예상

> 금융지주사 등을 중심으로 디지털 및 AI 혁신 주도를 위해 AI 부서 신설 등 AI 업무 조직 확대

> AI 기술이 개인 미래 행동을 예측하는 단계로 진화 + 생성형 AI 등에 대한 망분리 규제 개선 = 초개인화 금융 서비스 등 금융권 AI 활용 확대 전망

- 정보의 신뢰성, 규제 미비 등으로 해외 금융권의 AI 활용도 국내와 유사한 수준으로 파악

- 금융분야 AI 거버넌스

> 구축 목표: 금융회사 등이 안전하고 신뢰할 수 있으며 책임 있는 인공지능 개발ㆍ활용 문화를 자율적으로 조성하고 이를 유지ㆍ관리하는 것(인공지능 위험 관리 및 최소화 -> 인공지능 개발ㆍ활용 목표 달성)

> 거버넌스에 담아야 하는 내용

2. AI Safety 금융권 생성형 AI 도입에 따른 위협과 과제

- 금융권 생성형 AI 활용범위는 점차 확대: 고객상담, 금융투자 분석, 신용 및 대출 평가, IT 개발 등

- AI Safety 연구소

> 해외 4개국(미국, 영국, 일본, 싱가포르)에 AI 연구소가 설립되었으며, 국내에서도 개소 예정

> AI 안전 평가체계에 대한 조사, 연구, 개발, 국제협력 등을 수행

- 금보원 AI Safety 프레임워크 구축 추진

> 금융기관이 안전한 AI 시스템을 구축할 수 있도록 하는것이 목표

> 점검도구

보안뉴스

보안뉴스

https://www.securityweek.com/cisa-conducts-first-ai-cyber-incident-response-exercise

https://n.news.naver.com/article/022/0003942574?cds=news_edit

1. 거래처 이메일을 사칭하여 사기 범행을 벌이는 스피어 피싱

- 기업체 임직원 계정 해킹 후 모니터링을 통해 대금 변경 메일 등을 발송하며, 일명 나이지리아 스캠으로도 불림

> 2018년 이후 감소 추세를 보이며, 이는 In-Put 대비 낮은 Out-Put 때문임

- 해킹(스피어 피싱 등) > 모니터링 > 메일 발송 확인(기업체 간 정상 거래 메일) > 계좌 변경 등 악성 메일 발송 > 자금 세탁

> 기업체 간 정생 거래 메일 송수신이 확인될 경우 계좌, 거래 대금 등을 변경한 메일을 전송

- 발신자 확인, 출처가 불분명한 파일 다운 금지, 최신 업데이트 적용 등을 통해 예방

2. 2024년 상반기 침해사고 피해지원 주요 사례

- 24년 상반기 매월 약 80건(~5월)의 침해사고가 발생

> 해킹 경유지 21%, 문자 무단 발송 12%, 피싱 12%, 랜섬웨어 12%, 웹 취약점 9%, 기타 33%

- 대부분의 피해 업종은 중소기업으로 보안 인력과 보안 솔루션을 구비하는데 어려움 존재

> 대부분 외부 호스팅 업체에 위탁하거나, 자체 개발 인력을 통해 운영 중

> 따라서, 업체 규모 및 운영 상황에 맞춰 쉽게 대응할 수 있는 방안이 필요

3. AI 기반의 악성 URL 탐지 방법 및 기술

- PhaaS(Phishing-as-a-Service) 기법 확산으로 인한 피싱, 스미싱 공격자의 대중화

> 피싱을 대행해주는 집단으로 피싱에 필요한 모든 프로세스를 단계별로 세분화해 의뢰자의 요구에 따라 구독기반으로 제공 (Ex. Caffeine)

> 타이포스쿼딩, 특정 타겟 대상, 사용자 흥미/취미 이용 등

- 피싱 URL의 짧은 생명주기로 인해 대응하는데 어려움 존재

>  AI 이용 컨텐츠 추출, 이미지 캡쳐 등을 이용한 URL 분석 서비스 Askurl

4. 해킹사고 여부 원클릭으로 확인하는 '해킹진단도구'

- 보안이 취약한 영세, 중소 기업들은 인력 및 예산 부족으로 해킹 피해 인지가 어려움

> KISA, 침해사고 조사기법을 적용해 사전 탐지할 수 있도록 원클릭으로 해킹 여부를 진단하는 도구 개발

> 탐지 룰은 MITRE ATT&CK의 전술과 기법을 활용하여 개발

> 보호나라 > 정보보호 서비스 > 주요사업 소개 > 기업 서비스 > 해킹진단도구를 통해 서비스 신청 가능

- 기업 스스로 초기에 해킹 여부를 진단 할 수 있도록 함

5. 침해사고 조사 및 대응 절차

- 침해사고 대응역량 향상을 위한 제언

6. 최근 사이버공격 트랜드와 예방전략

- AI를 통해 예측할 수 없는 공격 시나리오 구성

> 특정 대상을 타겟팅하여 AI를 통해 짜여진 시나리오대로 다양한 방식으로 공격 수행

> CaaS(Crime-as-a-Service)가 23년 이후의 최신 트렌드로 자리매김

※ CaaS(Crime-as-a-Service): 사이버 범죄 조직이 직접 개발, 판매, 유통, 마케팅까지 하는 종합적 공격 서비스 

- 조직 내 침해사고 발생 주요 원인: 가장 큰 비중은 의심스러운 메일, 사이트, 파일 실행

- AV, EPP, EDR 간단한 설명

> EDR은 앤드포인트에서 다양한 정보를 수집하여 직관적인 가시성을 제공하고, 이를 기반으로 행위분석 및 AI/ML을 활용하여 알려진 및 알려지지 않은 위협을 탐지 및 대응하는 솔루션

사실 미션임파서블은 들어보기만 했지 실제로 관람한 적은 없었던 것 같다. 에단 헌트 역을 맡은 톰 크루즈님이 대역 없이 다양한 액션신을 소화해 내는 영화로만 알고 있었다. '미션임파서블 7 데드레코닝'을 관람한 후기를 한마디로 정의하자면 신기술 AI와 관련하여 우리가 어떤 자세를 취해야 하는지 제고시켜주는 영화라고 생각했다.

전반적인 패션, 기술, 문화 등 여러 분야에서의 트렌드를 영화, 음악, 예능과 같은 대중문화에서 잘 보여준다고 생각한다. 왜냐하면 대중문화야말로 일반 대중에게 소개되어 공감을 얻어야 관심을 끌 수 있고 여러 커뮤니티 등에서 실시간으로 공유되며, 이를 통해 밈과 유행어 같은 새로운 문화가 형성된다고 생각하기 때문이다.

미션임파서블 7에서 AI는 '엔티티'라는 강인공지능이 메인 빌런으로 등장한다. 엔티티는 무한한 연산을 통해 미래를 예측하여 원하는 미래로 유도하고, 이를 계속하고 학습ㆍ계산ㆍ예측ㆍ활용하여 끊임없이 엔티티가 유도하는 미래로 설계되도록 한다. 영화에서는 핵잠수함의 레이더를 조작해 존재하지 않는 적 잠수함과 어뢰를 만들어 결과적으로 핵잠수함을 침몰시키고, 가짜 핵폭탄을 보내거나, AR 선글라스를 조작하고, 무전을 해킹해 목소리를 흉내 내는 등 다양한 모습을 보여준다.

엔티티는 일련의 학습과 예측으로 통신망을 장악하고, 여러 디지털 기기를 순식간에 해킹하며 통신 중간에 개입해 교란을 발생시키나, 아날로그 기기에는 접근할 수 없다는 단점을 이용해 연식이 오래된 인공위성이나 모터보트 등 디지털이 아닌 통신장비를 이용했다. 또한, 디지털 기기여도 전원이 꺼지면 통제가 불가능하며, 자신의 예상 범위를 벗어나면 당황한 모습을 보여주는 단점이 있다.

사실 AI와 관련된 논의는 이전부터 계속되어 왔으며, 최근 챗GPT를 시작으로 AI와 관련된 기술과 연구ㆍ개발에 관심이 집중되고 있다. 국제적으로는 기술 우위를 선점하려는 움직임과 관련된 규제 및 표준을 마련하기 위한 움직임이 있다. 어느 분야에서나 그러하듯이 AI 기술 개발에 찬성하고 권장하는 입장이 있으며, 반대하고 우려를 표하는 입장 또한 존재한다. 

국제사회의 경우 23.07.18 유엔 안전보장이사회는 AI의 위험을 주요 안건으로 올렸으며, 이는 안보리 역사상 AI와 관련된 첫 공식 논의였다. 우리나라의 경우 인공지능 시장에서 기술 우위를 점하기 위해 여러 노력을 하고 있으며, 국정원에서 생성형 AI 활용 보안 가이드라인을, 한국지식재산연구원에서 내년 상반기 중 완성을 목표로 생성형 AI를 둘러싼 쟁점을 정리하고 이를 규율할 가이드라인과 법안을 마련하는 연구를 맡게 돼었다.

비슷한 내용으로 얼마 전 개봉한 '명탐정 코난:흑철의 어영'에서도 AI 기술이 등장한다. 인터폴의 최첨단 정보 해양 시설인 '퍼시픽 부이'에서 개발 중인 '전연령 인식' 이라는 AI 기술을 차지하려는 검은 조직과 코난 일행의 추격전을 그려낸 영화이다. 영화에 따르면 '전연령 인식' 기술은 일본과 유럽의 CCTV를 확인할 수 있을 뿐만 아니라 장기 수배범이나 유괴당한 피해자를 전 세계에서 찾아낼 수 있는 기술이라고 한다. 또한 영화는 살인사건에 딥페이크를 이용하는 등 AI의 부정적인 모습도 그려낸다. 해당 기술을 사용하면 어린아이로 위장해 검은 조직의 비밀을 파헤치려는 코난과 하이바라의 정체가 발각되는 것은 시간문제일 것이다.

제2차 세계대전이 한창이던 때 미국에서 루스벨트 대통령과 이론물리학자 로버트 오펜하이머의 주도하에 약 13만 명을 동원해 핵폭탄 개발 프로젝트 '맨해튼 프로젝트'를 극비리에 진행했다. 루스벨트 대통령이 뇌출혈로 사망한 후 취임한 트루먼(당시 부통령)이 담당자로부터 관련된 보고를 받고 프로젝트의 존재를 알게 된 만큼 극비리에 진행되었던 연구였다. 결과적으로 미국은 어느 나라보다 핵폭탄을 먼저 개발하였고, 이를 일본 히로시마와 나가사키에 각 한 발씩 투하함으로써 전쟁을 끝낼 수 있었다. 당시에는 전쟁을 끝냈다는 것에 성취를 느꼈으나, 머지않아 핵폭탄의 엄청난 파괴력을 실감한 여러 국가들이 핵실험을 시작했고, 현재 세계 각국이 보유한 핵무기의 양은 지구를 몇 번씩이나 파괴하고도 남을 정도라고 한다. 이에 전 세계는 핵확산금지조약, 국제원자력기구 등을 설립해 핵 확산을 억제하고 있지만, 아직까지도 핵우산, 상호확증파괴 등의 전략이 존재하는 아이러니한 상황이 연출되고 있다.

이처럼, 인류는 궁극적으로는 도움이 되는 기술을 개발하기 위해 여러 실험을 진행해 다양한 결과를 도출시킨다. 단순히 인류에 도움을 주기 위함이라는 안일한 생각에서 끝나지 않고 더 나아가 해당 기술로 인해 발생 가능한 장단점을 기술, 문화, 외교, 역사, 민생 등 다양한 방면에서 충분한 논의를 거쳐야 할 필요가 있다고 생각한다. 또한, 기술이 인류의 통제를 벗어나지 않도록 각 국가별 윤리적 규범과 제제 및 법률뿐 아니라 국제적인 협력이 필요할 것으로 생각된다.