[지디넷코리아]
“미토스(Mythos) 등 AI발 공격 고도화로 이제는 사이버 공격이 속도전과 물량전의 시대가 됐습니다. AI는 하루에도 취약점을 1000개 이상씩 찍어내고 있습니다. 반면 사람이 고급화된 컨설팅을 진행한다고 가정하면 통상 4주 정도 소요됩니다. 이미 현격한 차이가 발생하고 있습니다.”
김휘강 AI스페라 공동참업자 겸 고려대 정보보호대학원 교수는 14일 AI스페라(대표 강병탁)가 개최한 ‘크리미널IP 컨퍼런스(CIPC) 2026’ 세션 발표 발제자로 나서 이같이 진단했다. 김 교수는 이날 ‘규제 변화에 따른 공격 표면 관리(ASM) 기반 모의해킹서비스’를 주제로 발표했다.
김 교수는 “2027년 시행하는 개인정보 안전성 확보조치 개정고시에 387개 주요시스템에 대한 외부 전문가의 취약점 점검과 모의해킹이 의무화됐다”면서 “공공기관의 입장에서는 반년 만에 예산을 확보해야 하는 부담이 있다. 또 어떤 인원이 컨설팅에 투입돼 모의해킹을 했느냐에 따라 품질이 상당히 많이 달라진다는 한계도 있다”고 현 시점 공공기관이 맞닥뜨린 문제에 대해 짚어냈다.
그는 이어 “모의해킹 과정이 총 4주라고 가정하면 대부분 1주일 정도는 자산 식별과 스캐닝에 많은 시간이 투입된다. 소프트웨어에 탑재된 취약점은 어떤 것인지 파악하는 업무이기 때문”이라며 “이 자산 식별 및 스캐닝 과정을 획기적으로 단축할 수 있다면 우리는 양질의 서비스를 고객에게 제공하는 것이 가능해진다”고 설명했다.
아울러 김 교수는 “결국 AI 에이전트를 이용해 자동화된 취약점 진단 분석에 초점을 맞추고, 사람은 전략과 검토에 최종적으로 집중을 하는 구조가 트렌드로 자리잡게 될 것”이라며 “AI스페라는 ASM 솔루션을 통해 취약점 상시 스캔을 지원하며, 자산 식별에 투입되는 시간을 획기적으로 줄여주는 원동력이 되고 있다”고 밝혔다.
AI스페라의 ASM인 크리미널IP의 역량을 모의해킹 영역에 적용시켜 고도화되는 AI발 위협과 부각되는 모의해킹 중요성에 대응할 수 있도록 지원하겠다는 방침이다.
김 교수는 “ASM을 통해 취약점을 상시 스캔해놓고 AI를 통해 취약점을 어떻게 패치해야 하는지까지 자연어로 질문하면 대책을 제시한다”며 “보안 담당자가 한땀한땀 CVE(공개 취약점)을 어떻게 패치할지 고민하는 것이 아니라, 보안 담당자는 거시적 관점에서 보안 전략을 어떻게 가져갈지 고민하기만 하면 된다”고 말했다.
그는 “정책 흐름이 침해사고 발생 시 징벌적 과징금 등 제재를 강화하는 방향으로 가닥이 잡혔지만, 반대로 취약점 상시 진단, 성실한 모의해킹 등 적절한 보안조치를 취했을 때에는 인센티브를 제공한다”며 “설령 침해사고가 발생하더라도 크리미널IP ASM을 통해 공격 표면의 취약점 제거 노력을 이어오고 있다고 정부부처에 경감 사유로 반영해달라고 요청할 수 있는 근거로 작용할 수 있다”고 강조했다.