마크 존스톤 구글 클라우드 아시아·태평양 지역 최고정보보호책임국 총괄은 지난 20일 서울 중구 웨스틴조선호텔에서 열린 ‘2024 사이버보안콘퍼런스’ 기조연설 직후 인터뷰에서 이같이 말했다. 조선비즈가 주최한 이번 행사는 ‘혼돈의 시대: 사이버 위협’을 주제로 진행됐으며, 존스톤 총괄은 ‘급변하는 사이버보안 산업 환경, 구글의 시점에서’라는 주제로 강연했다.
 |
마크 존스톤 구글 클라우드 아태 지역 최고정보보호책임국 총괄./조선비즈 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
IBM을 거쳐 지난 2017년 구글에 합류한 존스톤 총괄은 구글 클라우드의 최고정보보호책임국(CISO)에서 일하고 있다. CISO는 구글 클라우드 고객사의 디지털전환(DX) 과정을 안전하고 성공적으로 이끌 수 있도록 지원하고, 클라우드 기술을 활용한 보안 혁신을 촉진하는 데 주력하는 부서다. AI 관련 위험 분석 및 규정 준수에서 유관 기관 간 견제와 균형을 이루는 데 도움과 자문을 제공하고 있다.
존스톤 총괄은 한국이 일본, 유럽, 미국과 함께 APT43 등 스파이 작전의 집중 대상 중 하나로 전 세계적으로도 위협 수준이 높은 국가라고 진단했다. APT43은 북한 정찰총국과 연계된 해커그룹으로, 국내에서는 ‘김수키’라는 이름으로 알려져 있다. 다음은 존스톤 총괄과의 일문일답.
ㅡ스파이 작전에 대응하는 방법은.
“공격 방법에 따라 다르다. 구글 클라우드 산하 보안기업 맨디언트는 APT(Advanced persistent Threats), FIN(Financial), UNC(Unclassified) 등으로 위협을 구분해 대응하고 있다. APT는 특정 목표를 향해 장기간 지속적인 공격으로 정보를 유출하고 시스템을 파괴하는 그룹이며, FIN은 금전적 이익을 노리는 위협 그룹으로 북한의 많은 사이버 공격이 여기에 속한다. UNC는 ‘분류되지 않은’ 그룹이라는 의미로 APT, FIN 등의 기준으로 분류할 수 없는 위협 행위를 따로 묶은 것이다.
각 위협들에 적절히 대응하기 위해서는 구체적인 방법론을 갖고 있어야 하는데, 특정 위협을 탐지할 수 있는 기술은 물론 해당 위협에 성공적으로 대응하기 위한 규칙과 규정을 마련해야 한다. 특히 통신 사업자나 주요 사회기반 시설의 경우 사이버 공격을 당할 경우 국가 전체가 흔들리기 때문에 공격에 대한 충분한 데이터를 사전에 수집해야 한다. 민간과 공공의 협력도 하나의 좋은 방안이 될 수 있다.”
ㅡ한국 기업들이 어떻게 사이버 방어력을 높일 수 있을까.
“한국을 포함한 아시아태평양 지역은 심각한 사이버 보안 인력 부족 문제를 겪고 있기 때문에 AI를 적극 활용해야 한다. 구글의 경우 사이버 보안에 생성형 AI를 적용한 ‘SecLM’이란 플랫폼을 갖고 있는데, 구글 제미나이를 기반으로 운영되는 이 플랫폼을 통해 사이버 공격에 대한 사고 대응과 보고서 작성 업무 속도를 51% 높였다. 우리가 보유한 인재들이 보고서 관련 업무 대신 사이버 공격 대응에 더 많은 시간을 쓸 수 있게 된 것이다.
한국 기업들도 사이버 보안 인재들에게 SecLM 같은 AI 기술을 활용해 그들의 역량을 높이는 것을 제안한다. 사이버 보안에 AI를 활용하면 사이버 보안 인력들의 역량을 높여줄 뿐만 아니라 사이버 공격에 대한 기업의 대응력도 높일 수 있다. 이전에는 고급 인력들만 할 수 있던 일들을 AI가 담당할 수 있기 때문이다. 추가적인 투자를 통해 AI로 사이버위협을 자동적으로 탐지하는 능력도 개선해야 한다.”
ㅡ기업 임원진의 인식 변화가 쉽지 않을텐데.
“사이버 공격으로 인해 기업이 얻을 수 있는 잠재적 피해는 매우 크다. 사이버 공격에 무방비 상태로 당하면, 기업은 데이터 유출에 따른 벌금, 법적 비용, 고객 보상 등 금전적 피해를 입게 된다. 뿐만 아니라 기업 시스템 중단에 따른 피해, 기업 평판 손상 등 입게 되는 피해가 매우 크다. 역으로 말하면 사이버 보안에 투자해 얻는 것도 많다. 이사회와 임원진의 사이버 보안에 대한 지속적인 관심이 필요하다.
기업 자체적으로 인식 변화가 일어나면 좋겠지만, 어려울 경우 정부 규제도 도움이 될 수 있다. 이미 세계 여러 국가에서는 기업 임원, 이사회 등에 사이버 보안의 책임을 요구하는 규제가 마련된 상태다. 사이버 보안에 신경 쓸 시간과 자금이 부족한 기업들에게 정부 차원에서 위협 관리를 강조하면 전반적인 사이버 보안 생태계를 바꿀 수 있다. 구글도 기업들의 사이버 위협 관리를 돕기 위한 가이드라인을 공개하고 있다. 이 가이드라인을 기반으로 자신들의 대응 능력을 평가하길 추천한다.”
ㅡ사이버 보안에서 중요하다고 생각하는 것은.
“사이버 공격에 잘 대응하는 것 만큼이나 복원력(Resilience)을 갖는 게 중요하다. 사이버 복원력은 사이버 공격 발생 시 효과적 대응과 피해 최소화, 신속한 서비스·시스템·네트워크 정상화를 통한 운영 복귀에 초점을 맞춘 개념이다. 구글의 경우 지난 2009년 ‘오로라 작전(Operation Aurora)’에 성공적으로 대응한 헤더 앳킨스(Heather Adkins) 보안 엔지니어링 부사장이 사이버 복원력에 대한 오피스를 따로 운영할 만큼, 복원력을 중요하게 생각하고 있다. 앳킨스 부사장은 사이버 공격뿐 아니라 자연적으로 발생할 수 있는 특정 재해에 대한 복원력을 구축하는 데에도 집중하고 있다.
구글은 고객들에게 복원력 있는 서비스를 제공하는 것을 목표로 하기 때문에 글로벌 데이터 센터 인프라 등에도 많은 투자를 하고 있다. 복원력을 위해 전체 시스템에 걸쳐 ‘제로 트러스트(Zero trust)’ 원칙을 도입하고 있다. 모든 것을 의심한다는 개념의 ‘제로 트러스트’는 하나의 기술이라기 보다는 시스템과 방법론이다. 엔드포인트(컴퓨터 네트워크에 연결되는 모든 장치), 시스템과 서버 등에 걸쳐 이뤄지는 액세스(접근)를 실시간으로 평가하고 있다. 사이버 공격의 대상이 되지만, 인터넷과 분리될 수 없는 각국 정부에게 제로 트러스트 원칙이 도움이 될 수 있다.”
ㅡAI가 확대 적용되면 인간은 무슨 역할을 하나.
“AI는 다른 AI 시스템의 보안 및 효율성을 평가하는 역할을 수행하는데, 이에 대한 신뢰성과 안전성을 확보하기 위해서는 인간의 역할이 여전히 중요하다. 구글은 ‘레드팀’을 운영해 생성형 AI가 공격을 받아 잘못된 출력을 내는 시나리오 등 다양한 공격에 대비하고 있다. 레드팀은 ‘버그 헌터(구글의 보안 허점을 발견하고 관련 정보를 제공하는 사람)’ 커뮤니티와도 긴밀히 협력해 AI 취약점 같은 사항을 업계에 공유하고 있다.”
김송이 기자(grape@chosunbiz.com)
<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
