[서울=뉴스닻] 최승림 기자 = 미국·영국·캐나다·호주·뉴질랜드 정보동맹 ‘파이브아이즈(Five Eyes)’ 소속 사이버보안 기관들이 첨단 인공지능(AI)이 사이버공격의 속도와 규모, 정교함을 급격히 높이고 있다며 기업 이사회와 경영진에 즉각적인 보안 강화 조치를 촉구했다. 이들은 AI 기반 공격 역량이 산업의 예상보다 빠르게 발전하고 있으며, 위협 변화의 시간 단위가 “수년이 아니라 수개월”로 줄어들고 있다고 경고했다.

“AI는 미래 위험 아닌 현재 위협”

파이브아이즈 기관장들은 공동 성명에서 첨단 AI 모델이 공격자와 방어자 모두의 능력을 근본적으로 바꿀 것으로 내다봤다. 특히 AI가 악성 행위자의 진입 장벽을 낮추고, 취약점이 발견된 뒤 실제 공격으로 이어지는 시간을 크게 단축시키고 있다고 지적했다.

이들은 “AI는 더 이상 미래의 고려사항이 아니라 이미 현실”이라며, 기존 보안 가정이 수년이 아니라 몇 달 만에 낡아질 수 있다고 강조했다. 취약점 공개 후 정기 패치만 기다리는 방식으로는 AI를 활용하는 공격자를 따라잡기 어려울 수 있다는 뜻이다.

“사이버보안은 IT 문제가 아닌 경영 리스크”

공동 성명은 사이버 위험을 기술 부서만의 문제로 취급해서는 안 된다고 밝혔다. 사업 연속성, 시장 신뢰, 장기 기업가치와 직결되는 핵심 경영 리스크인 만큼 이사회와 최고경영진이 보안 준비 상태와 책임 체계를 직접 점검해야 한다는 요구다.

기관들은 보안 통제 장치가 ‘존재하는지’만 확인하는 데 그치지 말고, 실제 사고 상황에서도 제대로 작동하는지 검증해야 한다고 강조했다. 침해 사고는 발생할 수 있다는 전제 아래, 탐지·차단·복구 역량을 훈련하는 것이 필요하다는 설명이다.

공격 표면 축소·신속한 패치·강한 인증 강조

파이브아이즈는 기업이 불필요한 외부 연결과 시스템 접근 권한을 줄여 ‘공격 표면’을 축소해야 한다고 권고했다. 공격 표면은 해커가 침투에 이용할 수 있는 계정, 서버, 인터넷 연결 장비, 외부 서비스 등 노출 지점을 뜻한다.

또 AI로 취약점 탐색과 공격 준비가 빨라지는 만큼 패치 절차도 앞당겨야 한다고 밝혔다. 지원이 종료된 레거시 시스템은 단순한 기술 부채를 넘어 전략적 위험이 될 수 있으며, 중요 시스템에는 강력한 인증과 정기적인 권한 검토가 필요하다고 덧붙였다.

“한 가지 도구로는 부족”… 다층 방어 필요

기관들은 보안이 특정 솔루션 하나에 의존해서는 안 된다며, 여러 단계의 방어 체계를 쌓는 ‘심층 방어(defense in depth)’ 전략을 강조했다. 기술을 설계하고 배포하는 단계부터 보안을 기본값으로 넣는 ‘시큐어 바이 디자인’과 ‘시큐어 바이 디폴트’ 원칙도 핵심 과제로 제시했다.

새로운 AI 시스템이 발전할수록 기존에 알려지지 않은 취약점, 이른바 제로데이 취약점이 빠르게 악용될 가능성도 커질 수 있다고 경고했다. 이에 따라 사고 대응 계획을 시험하고, 대응 인력을 훈련하며, 복구 절차를 반복 점검해야 한다고 밝혔다.

방어자도 AI 활용해야… “기본기와 속도가 승부”

공동 성명은 공격자뿐 아니라 방어자도 AI를 적극 활용해야 한다고 제안했다. AI를 보안 운영에 적용하면 취약점을 더 일찍 찾고, 소프트웨어 품질을 개선하며, 이상 행위를 탐지하고, 사고 대응 속도를 높일 수 있다는 것이다.

다만 파이브아이즈는 “가장 많은 도구를 갖는 것이 성공을 보장하지 않는다”며 기본 보안 수칙을 제대로 지키고, 빠르게 대응하며, 보안을 기업 전략에 통합하는 것이 중요하다고 강조했다. 보안 대응을 미루는 조직은 운영·재무·평판 측면에서 점점 더 큰 불이익을 겪을 수 있다는 경고다.

[저작권자 ⓒ 뉴스닻. 무단전재·재배포 금지]
최승림 기자 (seunglim.choi@newsdot.net)