“디지털 신뢰, 어떻게 입증할 것인가” 클라우드플레어가 제안하는 AI 시대의 지능형 방어 전략 : zum 뉴스

보안은 최신 공격 기법과 방어 수단이 격돌하므로 흔히 가장 기술 의존도가 높은 분야로 여겨진다. 그러나 AI 시대의 지능형 위협에 맞서 사이버 보안은 기술이 아니라 신뢰를 방어해야 하며, 신뢰 역시 고정된 것이 아니라 실시간으로 검증되고 적용되어야 한다는 의미 있는 주장이 제기됐다.

한국 Foundry가 6월 25일 서울 잠실 롯데월드에서 ‘Securing the Future : AI and the Crisis-Ready Cyber Defense’라는 주제로 개최한 ‘시큐리티 서밋 2025’ 행사에서는 국내외 다양한 전문가가 연단에 올라 최신 보안 전략을 제시했다.

특히 AI 기반 공격과 자격 증명 유출, 포스트 양자 보안 등 점차 고도화된 사이버 보안 위협에 대응하기 위해 클라우드플레어(Cloudflare)의 위협 방어 전문가 벤 먼로 부사장이 ‘2025 글로벌 보안 트렌드: 진화하는 사이버 위협 환경 탐색’을 주제로 IDC 김경민 이사와 함께 깊이 있는 대담을 나눠 많은 호응을 얻었다.

먼로 부사장은 AI 시대의 가장 중요한 변화로 공격 속도와 정교함의 발전을 들었다. 사용자와 마찬가지로, 공격자도 생성형 AI를 활용해 피싱 캠페인에 설득력을 더하고 있다. 딥페이크로 음성을 변조하고, 더 그럴듯하고 전통적 필터를 우회하는 맞춤형 문구를 만들어낸다. AI 모델로 코드나 인프라의 취약점을 자동으로 탐지하는 사례도 늘고 있다.

하지만 방어하는 측도 진화하고 있다. 위협 탐지 속도를 높이고, 사고를 신속히 분류하며, 사람이 놓칠 수 있는 패턴을 AI가 찾아낸다. 본질적으로 달라진 점은 위협이 출현하고 진화하는 속도다. 오늘날 공격은 합성적이고 동적이며, 추적이 어려운 특성을 띤다. 먼로 부사장은 “이제 보호해야 할 대상은 IT 시스템이 아닌 ‘디지털 신뢰’ 그 자체”라고 강조했다.

침투하지 않고 로그인한다

김경민 이사는 먼로 부사장에게 최근 사이버 범죄 분야에서 가장 두드러지는 공격 수단인 정체성 기반 공격의 가장 흔한 유형과 그 확산 배경을 물었다. 먼로 부사장은 대부분의 초기 침투 경로가 정체성 기반 공격이고, 다시 사용자가 반복 멀티 인증 요청에 지쳐 결국 아무 것이나 먼저 승인하도록 유도하는 MFA 피로도 공격과 감염된 장치나 브라우저에서 유효한 세션 토큰을 탈취해 인증 없이 접근하는 세션 하이재킹의 두 유형이 가장 많다고 설명했다.

주요 배경으로는 하이브리드 업무 환경의 확산, SaaS와 클라우드 앱 의존도 증가, 공격자의 간편한 로그인 선호가 꼽힌다. 이제 공격자도 침투보다 로그인을 선호한다. 자격 증명 또는 토큰 기반 신뢰 사슬을 탈취하면 수평 이동, 권한 상승, 사용자 사칭이 가능해지고, 탐지되지 않은 채 공격을 진행할 수 있다.

MFA와 패드워드리스 옵션도 보편화되었지만 여전히 침해 사고가 발생하는 이유는 무엇일까? 공격자가 로그인 화면 자체보다 인증 이후의 취약점을 노리기 때문이다. 아무리 MFA나 패스워드리스 방식으로 로그인하더라도 세션 토큰이 피싱, 악성코드, 브라우저 취약점을 통해 유출되면 공격자는 인증 절차 없이 사용자를 사칭할 수 있다.

‘최고의 현실적 아키텍처 전략’ 제로 트러스트

김경민 이사는 MFA와 패스워드리스 옵션이 보편화되고 있음에도 여전히 침해 사고가 발생하는 원인을 물었다. 먼로 부사장은 토큰 탈취를 대표 사례로 들며, 세션 토큰이 피싱, 악성코드, 브라우저 취약점 등을 통해 유출되면 공격자는 인증 절차 없이 사용자를 사칭할 수 있다고 답했다.

또 다른 약점은 불균일한 보안 정책 적용이다. 예컨대 일부 조직은 여전히 SMS 기반 MFA나 비공식 협력업체의 접근을 허용한다. 이처럼 공식적으로 허용되지 않은 우회 경로가 공격자의 진입점이 된다는 의미다.

인적 오류도 중요한 원인으로 꼽혔다. MFA 요청을 무심코 승인하거나, 사회공학적 기법에 속는 경우다. 먼로 부사장은 인증 강화를 넘어, 맥락 기반 접근 제어와 세션 수준 보안을 병행하라고 조언했다.

Foundry

한편, 먼로 부사장은 일회성 배포가 아니라 위험 기반의 점진적 전환 과정이라며 제로 트러스트의 중요성을 강조했다. 제로 트러스트는 신뢰를 없애는 것이 아니라, ‘증거에 기반한 지능형 신뢰’로 대체하는 접근이다. 성공적인 조직은 대체 정체성과 애플리케이션 접근부터 시작해 과도한 권한 제거와 수평 이동 차단이라는 실질적 효과로 이어진다.

그 다음 단계는 지속적 검증이다. 중요한 시스템 접근에는 특정 장치 상태나 위치 확인, 검증된 ID 제공업체를 요구하는 등, 다양한 컨텍스트 정보를 기반으로 접근을 동적으로 제어해야 한다. 마지막은 최소 권한 원칙을 패킷 수준까지 적용해 하이브리드 환경에서도 수평 트래픽을 통제하는 네트워크 및 데이터 분할이다.

현장에서는 AI 기반 피싱 공격이 더욱 개인화되고, 확장 가능하며, 탐지하기 어려워지고 있는 추세다. 이 변화는 매우 빠르게 진행되고 있다.

클라우드플레어에서는 생성형 AI가 내부 커뮤니케이션을 흉내 낸 피싱 키트를 다수 확인했다. 문법, 어조, 맥락까지 거의 완벽히 구현해낸다. 실제로 어떤 공격자는 한 기업의 HR 문서를 모방해 복지 관련 용어와 문장 구성까지 흡사한 이메일을 보낸 사례도 있었다.

또한 AI를 이용해 피싱 이메일의 제목, 형식, 문장을 실시간으로 재작성하며 보안 필터를 회피하는 사례도 늘고 있다. 지역별, 업종별 문맥에 따라 자동으로 문장을 조정함으로써, 기존의 정적 필터나 블랙리스트는 무력화된다.

먼로 부사장은 클라우드플레어의 Area 1 이메일 보안 솔루션에 기계학습 모델을 적용, 단어가 아닌 의도, 행위, 메타데이터를 기반으로 실시간 위협 신호를 탐지하고 있다고 설명했다. 클라우드플레어 게이트웨이(Cloudflare Gateway)와 브라우저 격리 기술을 결합해 사용자가 악성 사이트에 접속하더라도 피해를 차단한다.

한편, 먼로 부사장은 숙련된 전문가조차 AI로 생성한 콘텐츠에 속을 수 있다며 다양한 실제 사례를 공유했다. 또 다른 사례로는, 고위 임원을 사칭한 피싱 이메일이 있었다. 해당 메시지는 기업의 링크드인 프로필과 공개 보고서 등을 기반으로 문체와 내용이 정교하게 구성돼 있었고, ‘오늘 중으로 이 제안 요청서(RFP)를 검토해달라’라는 요청이 포함돼 있었다. 클라우드플레어 이메일 보안팀이 탐지하지 못했다면 피해로 이어질 아찔한 상황이었다.

인간 대응 한계 도달한 DDoS 방어, AI를 활용한 자동화 필수

김경민 이사는 DDoS 공격이 규모와 속도, 정교함 면에서 빠르게 고도화되고 있다며, AI를 활용한 DDoS 방어 전략의 변화 트렌드를 질문했다. 먼로 부사장은 DDoS 대응 전략 역시 수동에서 자율화된 AI 기반 방어 체계로 전환되고 있으며 현재의 공격 속도와 규모로는 사람만으로 대응하기가 불가능하다고 지적했다.

먼로 부사장에 따르면 오늘날의 디도스 공격은 단시간에 폭발적으로 이루어지며, 예측이 어렵다. 따라서 방어는 즉각적이고 적응형이며 전 세계 단위로 이루어져야 한다. 클라우드플레어는 머신러닝 모델을 활용해 전 세계 트래픽 패턴을 분석하고, 공격 유형을 실시간 분류해 수 밀리초 내 차단한다. 이 모델은 335개 도시에 분산된 클라우드플레어 네트워크 전반에서 동작한다.

AI는 오탐률을 줄이는 역할도 한다. 단순히 트래픽이 증가했다고 차단하는 것이 아니라, AI는 해당 트래픽이 악성인지, 혹은 단순 사용자 급증 때문인지 구분할 수 있다. 이를 통해 정상 서비스는 유지하면서 위협은 제거한다.

AI는 공격 예측 및 선제 방어 구성에도 활용된다. 과거 공격 데이터를 기반으로 방어 체계를 사전에 구성하는 방안을 통해 AI는 실질적인 선제 방어 체계로 진화하고 있다.

양자 위협은 이미 시작됐다, 선제적 대응 필요

양자 컴퓨터 시대를 앞두고 암호 기술 전환이 시급하다는 목소리가 커지고 있다. 먼로 부사장은 지금 당장 가장 실질적인 조치는 암호 인벤토리 관리라고 강조했다. 어떤 암호화 기술이 어디에 적용돼 있는지를 파악하지 않으면 전환 자체가 불가능하기 때문이다. TLS 인증서, 내부 API, VPN, IoT 장치, 공급망 연계 시스템 등 모든 자산 내 기존 암호 구조를 식별해야 한다.

먼로 부사장에 따르면, 양자 이후 암호(Post-Quantum Cryptography, PQC)는 더 이상 이론이 아닌 시급한 전략 과제다. 위협은 단지 미래의 양자컴퓨터가 암호를 해독할 수 있다는 점에 있지 않다. 지금 데이터를 탈취해, 나중에 양자 컴퓨팅으로 해독하려는 ‘지금 수집해, 나중에 해독(‘Harvest now, decrypt later’)’ 전략이 이미 현실화되고 있다.

먼로 부사장은 클라우드플레어는 암호 민첩성(crypto-agility)을 핵심 원칙으로 제시하고 있다. 이는 전통적인 암호 기술과 양자 저항 알고리즘을 병렬 적용하는 하이브리드 방식을 도입해 서비스 중단 없이 전환을 유도하는 방식이다. 클라우드플레어는 이미 일부 고객 경로에 이를 테스트 배포한 상태다.

‘단일 인증’ 시대 종말, 핵심은 ‘지속 검증’

이제 AI는 현실과 합성의 경계를 흐리고 있다. 완벽하게 작성된 피싱 이메일, 화상 회의에서 수집된 음성 클론, 신뢰 사용자처럼 보이는 이상 행위 등, 우리가 신뢰하던 신호가 더 이상 신뢰할 수 없게 됐다.

그렇기에 보안 모델도 정적 신뢰에서 벗어나, 맥락 기반의 실시간 검증 체계로 바뀌어야 한다. 로그인 순간의 인증이나 휴면 파일의 무결성 확인만으로는 충분하지 않다. 행동, 의도, 위험도를 지속적으로 평가해야 한다.

마지막으로 먼로 부사장은 AI 시대의 보안 전문가가 반드시 기억해야 할 원칙으로 ‘진위는 조작될 수 있으며, 신뢰는 반복적으로 입증돼야 한다’를 제안했다. 실무적으로는, 맥락 인식 접근 제어, 이상 탐지, 연속 검증 시스템을 우선 구축해야 한다. 익숙한 신호조차 AI 인식 기반 분석으로 재검토해야 한다.

김경민 이사는 단순 위협 대응을 넘어 신뢰를 유지하는 것이 AI 시대를 맞은 사이버 보안 분야의 관건이라며 이번 대담이 신뢰 구축을 위한 첫걸음이 되기를 바란다고 전했다.