"해킹 돕는 '다크 챗GPT' 확산…보안 외면하면 대기업도 망한다"
2010년대 중반, 소니픽쳐스가 북한을 주제로 영화를 제작하자 북한 소속으로 추정되는 해커들이 이 회사를 공격해 5억달러(약 6700억원)가량 피해가 발생했다. 개봉도 안 한 영화가 유출됐고, 회사 시스템이 멈추고 주가는 폭락했다. 이를 지켜본 미국 증시 상장 기업 절반 이상이 긴급 이사회를 열고 부랴부랴 보안 점검 회의를 열었다. 정보보호 시스템이 부실하면 투자자 신뢰를 잃고 심지어 회사가 망할 수도 있다는 인식을 세계 시장에 던진 중요한 사건으로 회자된다.

변상경 삼성SDS 보안기술 실장(상무·사진)은 2일 한국경제신문과의 인터뷰에서 “생성형 인공지능(AI) 시대를 맞아 해킹도 진화하고 있다”며 “보안 투자에 인색하면 큰 위기가 닥칠 수 있다”고 경고했다.

○생성 AI, 해킹 전성시대 열었다


"해킹 돕는 '다크 챗GPT' 확산…보안 외면하면 대기업도 망한다"
변 실장은 국내 최고 보안 전문가다. 1998년 미국에서 네트워크 시스템 엔지니어로 일하면서 정보기술(IT)업계에 발을 내디뎠다. 2000년대 초 미국 중앙은행(Fed)에서 5년간 IT 보안 감사 업무를 했다. 이후 딜로이트컨설팅으로 자리를 옮겨 보안담당 매니저로 6년간 일했다. 변 실장은 “지멘스에서 정보보안 총괄을, 워너브러더스디스커버리미디어에서 글로벌 보안 및 컴플라이언스 총괄을 맡으며 큰 무대에서 다양한 경험을 쌓았다”고 입을 열었다.

그는 “보안이 요즘처럼 큰 관심을 받은 적이 없다”며 놀라워했다. 생성 AI 시대가 오면서 해킹 그룹의 지능적인 사이버 공격이 곳곳에서 탐지되고 있어 보안의 중요성이 커졌다는 설명이다. 생성형 AI를 ‘양날의 검’이라며 표현한 그는 “해커와 보안팀 모두 AI를 이용하기 때문에 보안에 선제 투자가 이뤄지지 않으면 AI 시대의 ‘힘의 균형’이 해커 그룹으로 넘어갈 수 있다”고 우려했다.

삼성SDS는 그를 5년 전 영입했다. 대한민국 IT 시장이 커지면서 국내 대기업이 글로벌 해커 그룹의 본격적인 먹잇감이 된 시기다. 해외에서 활동하던 그가 한국행을 결정한 이유는 선진 보안 기술로 한국 사회에 기여하고 싶었기 때문이다.

변 실장은 “국내 대기업이 매출 규모에선 세계 최고 수준에 올랐지만 보안에 관한 인식과 준비 상황은 과거에 머물러 있었다”며 “해킹이 얼마나 큰 피해를 가져오는지 알려야 할 의무감을 느꼈다”고 말했다. 2019년 삼성SDS에 합류한 그는 정보보안전략팀장으로 일하다가 2022년 말부터 보안기술실장을 맡아 기획, 컨설팅, 솔루션, 관제 등 4개 분야를 아우르고 있다. 삼성SDS 보안기술실은 국내 최대 보안 조직 중 하나다.

글로벌 시장에서 쌓은 보안 노하우를 전하기 위해 한국에 왔지만 처음에는 순탄치 않았다. 초반에 만난 한 고객사는 “보안에 큰돈을 쓸 필요가 있냐”며 사사건건 부딪쳤다. 변 실장은 경영진을 대상으로 보안에 대규모 투자가 왜 필요한지 설득하기 위해 보고서를 직접 만들고 발로 뛰며 알렸다. 대비하지 않으면 회사가 글로벌 시장에서 쌓은 신뢰를 단번에 잃을 수 있다고 호소했다.

그의 고군분투 덕에 삼성그룹에 전사적 보안 위기관리 개념이 비로소 생겼다. 사이버 보안 사고를 재무 위기, 운영 위기, 자연재해 정도의 위협으로 인식하기 시작했고, 주기적으로 이사회에서 보안 임원을 불러 보안 수준과 성숙도, 대비 상황을 확인했다. 변 실장은 “이제 보안에 대한 경영진의 관심이 매우 높다”며 “그룹 내 사이버 보안과 담당 조직에 관심이 커진 걸 느낀다”고 말했다.

○해킹 시간, 예전 10분의 1로 줄어


요즘 해커들은 챗GPT의 다크웹 버전인 ‘웜GPT’와 AI 기반 피싱, 이른바 ‘사기GPT’로 손쉽게 대량으로 악성코드를 제작하며 사이버 공격을 시도하고 있다. 변 실장은 “과거 해커들이 보낸 이메일은 문장이 허술했지만, 이제는 AI를 활용해 문법과 문맥을 넘어 문체까지 완벽히 따라 한 글로 피싱 이메일을 제작하고 있다”고 전했다. 공격 소요 시간도 대폭 줄었다. 그는 “과거 악성코드를 만들어 심는 데 최소 5시간이 걸렸다면 이제는 공격 시간이 10분의 1로 줄었다”며 “생성 AI를 이용해 악성코드의 기본 형태가 다 ‘세팅’돼 있기 때문”이라고 설명했다.

기술 융합이 빨라지면서 산업 구분이 모호해지고 초국가 기업이 활동 범위를 넓히면서 보안에서도 ‘사슬 개념(security chain)’이 부상하고 있다. 대기업 민감 정보에 접근하려는 해커 그룹의 공격이 대기업 협력사로 확대됐다는 것이다. 변 실장은 “글로벌 반도체 대기업은 보통 협력 관계를 맺고 있는 중소기업이 수천 곳인 데다 보안 방식도 제각각”이라며 “최근 해커 그룹은 협력사 중 보안 대비가 가장 허술한 곳을 뚫은 다음 역으로 목표 대기업에 접근하는 전술을 구사하고 있다”고 말했다. 수만 곳의 협력사와 공급망 생태계를 구성한 대만 TSMC는 보안 시스템을 협력사와 표준화해 연동하고 있다.

그에게 한국에 오고 나서 가장 뿌듯했던 순간이 언제였는지 묻자 “아무 일도 발생하지 않는 평상시 순간”이라는 답변이 돌아왔다. 잘 때 항상 전화를 머리맡에 끼고 자고 2~3시간마다 일어나 경보 확인을 한다는 변 실장은 인터뷰 내내 보안에 대한 사회적 인식을 높여야 한다고 강조했다. 그는 “보안 인력을 대우하지 않는 국가는 생성 AI 시대에 주도권을 절대로 쥘 수 없을 것”이라고 강조했다.

강경주 기자 qurasoha@hankyung.com