보안

[취재수첩] 보안업계 'AI 남발' 위험한 이유

김보민 기자
[ⓒ 픽사베이]
[ⓒ 픽사베이]

[디지털데일리 김보민기자] 바야흐로 인공지능(AI) 시대다. 사람처럼 묻고 답하는 챗GPT 등장 이후, AI 기술을 대하는 주요 산업군의 자세는 180도 달라졌다고 말해도 과언이 아니다. AI 기술을 도입하지 않으면 시대 흐름을 따라가지 못하는 '아웃사이더(Outsider)'처럼 여겨지는 경우도 다반사다.

보안 업계도 예외가 아니다. 통합관제부터 문서보안, 네트워크보안까지 기존 제품에 AI 기술을 더하겠다고 홍보하는 기업은 나날이 늘고 있다. 올해 사업 전략을 관통하는 키워드가 무엇이냐 묻는 질문에 늘 'AI'라는 답변이 돌아오곤 한다. 국내 보안 시장에 AI 바람이 거세게 불고 있다는 사실을 체감할 수 있는 부분이다.

보안 기업들은 두 가지 성격의 AI 보안 솔루션을 제공하고 있다. 가장 흔한 솔루션은 보안 담당자들의 업무 강도를 낮추는 데 초점을 두고 있다. AI가 사람이 해야 하는 반복 작업을 대신해 주거나, 사람이 일하지 않는 시간에 대체 역할을 하는 방식이다. 특히 보안 인력이 부족한 고객 기업들의 관심을 끌며 빠르게 성장하고 있는 분야다.

보안 위협을 탐지하거나 관제를 운용하는 영역에서도 AI 솔루션이 기지개를 켜고 있다. 이러한 성격의 보안 솔루션은 국내보다 글로벌 기업들 사이에서 빠르게 개발되고 있다. 자사 보안 플랫폼에 AI 챗봇을 탑재해 보안 위협 현황과 대응 방안을 묻고 답하고, 보안 정책과 권한을 조율할 수 있도록 생태계를 구성하는 추세다. 사이버 공격이 진화하고 있는 만큼, 보안 시장도 함께 전환기를 맞은 모습이다.

그러나 일각에서는 AI를 전면에 내세워 홍보하는 보안 기업을 경계해야 한다는 목소리도 나온다. 아직까지 보안 솔루션에 AI 기술이 적용될 만큼 성숙도가 무르익지 않았다는 지적이다. 기술검증(PoC) 이전에 '일단 던져보자'는 식으로 AI 솔루션을 내세우는 기업도 다수다.

과거 보안 시장에서 제로 트러스트가 유행어처럼 떠돌았던 때와 분위기가 비슷하다는 평가도 나온다. 한국을 비롯한 주요 국가들이 제로 트러스트에 대한 명확한 정의를 내리지 못한 시점에서도 보안 기업들은 요소 솔루션에 제로 트러스트라는 이름을 붙여 판매하는 움직임을 보였다. 아직까지 고객 기업 사이에서는 제로 트러스트에 대한 정의를 명확히 이해하지 못한 채 솔루션을 구매하는 경우가 많다.

AI는 '어디까지 신뢰할지'가 관건이다. 거대언어모델(LLM)과 서비스 영역에서는 환각 현상(할루시네이션)을 거론하는 경우가 많은데, 보안 시장도 마찬가지다. AI가 위협 요인을 모두 분석했다고 답하더라도 이를 100% 신뢰할지는 여전히 사람의 영역이다. AI가 공격 사례를 100건 탐지했다고 답하더라도, 정말 모든 현황을 파악했는지 여부는 알 수가 없다.

AI 보안에 회의적인 기업들은 오히려 첨단 기술이 기업의 방어 체계를 허물 가능성이 있다고 본다. AI 방어 아키텍처는 알고리즘을 기반으로 구축되는 경우가 많기 때문에, 공격자들이 침투 방법을 꿰뚫어 보기 쉬워질 수 있다는 것이다. 업무 효율화 작업에 AI 보안 솔루션을 쓸 수는 있지만, 탐지와 분석 영역은 시기상조라는 의견이 힘이 실리는 이유다.

AI 기술과 서비스에 대한 옥석 가리기가 시작된 만큼, 보안 기업도 곧 칼날을 피해 가기 쉽지 않을 전망이다. 사이버 위협에 대한 경각심이 무리한 AI 남발은 보안 울타리를 약화시킬 가능성이 있다. 과대 포장으로 과유불급을 낳는 불상사는 없어야 한다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널