사이버 보안에 힘 쏟는 과기부, ‘챗GPT’가 랜섬웨어와 맞먹는 위협?
과기부 ‘사이버 보안’에 심혈, 4,000억원 규모 보안기술 R&D 예타사업 추진 고도화·다변화하는 사이버 보안 위협, 꾸준히 실태 파악·대응 방안 마련에 힘써 새로운 보안 위협으로 ‘챗GPT’ 지목한 것은 의문, 관련 이해도 부족하다는 지적 제기
정부가 전환된 사이버 보안 패러다임에 능동적으로 대응하기 위해 4,000억원 규모의 보안기술 연구개발(R&D)을 진행한다. 과학기술정보통신부는 16일 서울 영등포구 전경련 회관에서 ‘사이버보안 패러다임 전환에 따른 능동 대응 기술 R&D 사업 설명회’를 개최하고 이 같이 밝혔다.
과기부는 최근 △신기술의 발전 △랜섬웨어 공격의 상업화 △국가 간 사이버전 등으로 인해 사이버 위협의 패러다임이 변화하고 있다고 평가했다. 특히 챗GPT·6G·양자 기술 등 지금껏 없었던 신기술의 발전이 새로운 형태의 보안 위협을 불러왔다는 판단이다.
한편 업계에서는 정부의 ‘사이버 보안’ 관련 R&D 사업에 ‘챗GPT’가 언급되는 것이 의문스럽다는 평이 나온다. 사이버 보안보다 저작권 문제로 논란이 되고 있는 챗GPT를 갑자기 랜섬웨어(금품요구악성프로그램), 사이버전(戰) 등과 동일한 수준의 ‘사이버 위협 요소’로 언급할 만한 근거가 사실상 없다는 지적이다.
과기부, 사이버 보안 R&D 예타사업 추진
이번 설명회는 사이버 보안 패러다임 전환에 따른 능동 대응 기술 개발 사업 기획안을 소개하고, 기획안에 대한 산·학·연의 의견을 수렴하기 위해 마련됐다. 과기정통부는 설명회 결과를 토대로 기획안을 보완한 뒤 올 6월 예비타당성조사 대상 사업(이하 예타사업) 선정 공모에 신청하겠다는 계획이다.
과기부가 기획한 예타사업은 점차 고도화하는 사이버 위협에 능동적으로 대응하기 위한 R&D 사업이다. 과기부는 챗GPT・6G・양자 기술 등 신기술의 발전으로 새로운 보안 위협이 등장하고, 지하웹(다크웹)・가상화폐를 기반으로 한 랜섬웨어 공격이 점차 상업화되고 있다고 설명했다. 이에 더해 국가 간 분쟁에서도 사이버 공격을 활용한 사이버전이 핵심 역할을 수행하는 등 점차 사이버 위협의 패러다임이 다변화하고 있다는 분석이다.
이에 따라 과기부는 기존 보호, 탐지 위주의 대응 전략이 아닌 위협 행위자의 식별, 사전 예방적 조치 강화 등 보다 능동적・적극적인 형태의 대응 전략이 필요하다고 봤다. 본 예타사업은 이를 위한 대응 기술을 개발하는 것이 목적이며 △공격 억지 △선제 면역 △회복 탄력 △기반 조성 총 4개 전략 분야를 중심으로 기획됐다. 사업 규모는 총 5년간 3,917억원 수준이다.
거세지는 사이버 위협, 과기부의 대응책은?
코로나19 팬데믹 이후 사회 전반의 디지털 전환이 가속화하고, 클라우드 및 비대면 원격근무가 활성화하며 사이버 보안 문제가 점차 심각해지는 추세다. 러시아-우크라이나 전쟁 장기화로 인한 국제 해킹 조직의 활동 증가 역시 주요 기반 시설 및 국제 기업을 대상으로 한 대규모 사이버 공격 위험을 키우고 있다.
랜섬웨어 공격도 지능형 지속 공격(APT) 형태로 진화하기 시작했다. 랜섬웨어 공격자는 금전적 수익 극대화를 위해 암호화 파일 복구는 물론 유출 데이터 공개, 디도스(DDoS, 분산서비스거부) 공격 등 다중협박(Multi Extortion) 전략을 채택하기 시작했다. 이뿐만 아니라 직접적인 수익 창출을 위한 가상거래소, 전자지갑, 탈중앙화 금융(DeFi, Decentralized Finance, 디파이) 등을 겨냥한 ‘가상자산 목표형’ 공격도 증가하는 추세다.
그간 과기부는 점차 고도화하는 사이버 보안 문제를 예방하기 위해 꾸준히 노력해 왔다. 앞서 2021년에는 25개 산하 기관이 정보 보호 업무를 전문적이고 체계적으로 수행할 수 있도록 기관 규모 등을 고려해 정보보호 전담 조직을 신설하겠다고 밝힌 바 있다. 아울러 정보 보호 사업 예산을 정보화 사업 예산 대비 15% 이상 반영하도록 의무화하는 등 사이버 보안 역량 강화를 위한 기반도 다지기 시작했다.
지난해 3월에는 한국인터넷진흥원(KISA)과 ‘사이버보안 취약점 정보 포털(이하 ‘취약점 정보 포털’)’ 서비스를 개시했다. 취약점 정보 포털은 각 제조사별 홈페이지에 산재해 있던 국내‧외 보안 취약점을 국가 차원에서 수집‧관리하고, 수집된 정보를 다양한 이용자가 편리하게 확인‧개선할 수 있도록 하는 서비스다. 제조사의 보안 SW 패치 정보, 국내‧외 보안 취약점 정보 등 20만여 건의 정보를 보유하고 있다.
이 밖에도 과기부는 지난 2월 산업계 및 출연연 등과 소통 및 협력을 강화하고, 소속·산하기관의 정보보안 대응 역량을 제고하기 위한 정보보안 간담회를 개최했다. 급변하는 사이버 위협의 실태 및 각 기관의 대응 수준을 파악하고, 효과적인 대응 방안을 마련하기 위해 꾸준히 힘을 쏟고 있는 것이다.
챗GPT 당면 과제는 사이버 보안 아닌, ‘저작권’
하지만 이 같은 과기부의 노력이 모두 ‘적절하다’고 볼 수는 없다. 과기부는 이번 설명회에서 ‘챗GPT’를 랜섬웨어, 사이버전 등과 동일선상에 두며 ‘새로운 위협’이라고 지목했다. 하지만 업계에서는 사실상 챗GPT가 랜섬웨어 공격과 유사한 수준의 위협이라는 과기부 입장에 대해 의아함을 드러내고 있다.
챗GPT와 같은 생성형 AI 서비스 자체가 사이버 보안에 위협이 되기는 어렵다. 생성형 AI는 이용자가 어떻게 사용하느냐에 따라 위험할 수도, 유익할 수도 있는 ‘도구’기 때문이다. 최근 생성형 AI는 사이버 위협 완화 및 보안을 위해서 활용되기도 하며, 해커들의 공격을 돕는 보조 도구로도 활용되고 있다.
실제 시장에서는 챗GPT가 해킹 시도의 장벽을 낮추고 있다는 우려를 심심찮게 찾아볼 수 있다. 특히 다크웹에서는 해커들이 AI 챗봇을 이용해 사이버 공격을 가하는 방법을 공유하고 있다고도 전해진다. 대기업의 경우 자체적인 보안 체계를 이용해 스스로를 보호하고 있지만, 중소기업 및 일반인의 경우 AI 기술을 활용한 해커들의 공격에 노출될 가능성이 크다.
하지만 이 같은 이유로 ‘챗GPT’ 그 자체가 사이버 보안에 위협이 된다고 결론짓기는 어렵다. 챗GPT가 해킹 시도를 다변화·고도화할 위험은 분명히 존재하나, 이는 어디까지나 활용 방법에 따른 ‘가능성’이기 때문이다. 이용자의 요구에 따라 정보를 제공할 뿐인 생성형 AI 서비스를 랜섬웨어 공격 등 이미 실존하는 위험과 동일선상에 두기에는 사실상 무리가 있는 셈이다.
현재 챗GPT가 당면해 있는 과제는 사이버 보안이 아니다. 업계에서는 챗GPT의 데이터 수집 과정에서 저작권 침해가 발생하는지, 챗GPT가 생성한 결과물에 저작권을 부여해야 하는지 등에 대한 ‘저작권’ 담론이 주를 이루고 있다. 사업 정당성 확보를 위해 사이버 보안 분야에서 ‘챗GPT’ 카드를 섣불리 꺼내든 과기부가 비판받고 있는 이유다. 차후 사이버 위협에 효율적으로 대처하고, 인력 및 재원을 낭비하지 않기 위해서는 위협 요인에 대해 한층 깊이 있는 이해가 필요할 것으로 보인다.