[단독] "협력사 뚫리면 속수무책"…대기업 정보보안 '비상'

최형창 기자

입력2024.02.13 14:00 수정2024.02.13 14:05

협력사 통한 침해 사고 2년새 5배 증가

SK쉴더스 ‘협력회사를 통한 침해사고’ 통계
서버 해킹, 메일 탈취 등 공격 다양화

국내 제조 대기업 A사는 지난해 연구개발(R&D)자료를 해킹당했다. A사 자체는 보안대기업의 보호를 받고 있어서 문제가 없었다. 하지만 A사로부터 R&D와 사업자료 등을 위탁 받아 생산하던 협력회사가 해커의 공격을 받아 사고가 발생했다. 해커는 협력회사의 취약한 보안 시스템을 악용해 6개월간 내부 서버에 상주했다. 협력회사에서 A기업으로 전달되는 데이터를 탈취하는 방식으로 랜섬웨어 공격을 수행했다.

랜섬웨어는 ‘몸값(ransom)’과 ‘소프트웨어(software)’의 합성어로, 데이터를 암호화해 사용할 수 없도록 한 뒤 이를 빌미로 금전을 요구하는 게 일반적이다. 해커는 협력회사의 보안 관리가 취약하다는 점과 협력회사는 원청기업의 데이터를 주고받는 다는 점을 악용했다.

중견기업 B사는 컴퓨터(PC)관리 솔루션 서비스 지원 회사 때문에 해킹당했다. 해커가 PC관리 회사의 서비스 보안이 취약하다는 점을 파악한 뒤 솔루션 업데이트 서버를 장악했다. 이후 B사 서버에 악성코드를 실행해 회계 서버에 접근했다. B사는 회계자료 및 사원정보 등의 내부 기밀자료를 고스란히 빼앗겼다.

보안 잘 되는 곳도 협력회사 뚫리면 속수무책

국내 대기업과 중견기업들의 정보 보안에 비상등이 커졌다. 대기업과 중견기업의 자체 보안 시스템은 잘 갖춰졌더라도 중소기업 등 협력회사를 통한 공격 시도가 매년 큰 폭으로 늘고 있어서다.

한국경제신문이 보안기업 SK쉴더스를 통해 입수한 ‘협력회사를 통한 침해사고 통계’에 따르면 지난해 전체 정보보안 침해사고 중 35%가 협력회사를 통해 일어났다. 2021년에는 전체 공격의 7.14%에 불과했지만 2022년 17.39%로 두 배 이상 늘더니 1년 만에 또 전년 대비 약 2배 증가했다.

SK쉴더스 침해사고대응전문팀 탑써트(Top-CERT)의 분석에 따르면 해커는 보안 체계와 시스템이 비교적 잘 자리잡은 대기업 등 원청기업을 노리는 대신 상대적으로 보안 투자가 적은 중소 규모 협력회사를 공격의 시작점으로 삼고 있다. 특히 제조업 기반의 대기업은 협력회사와 수시로 소통해야 하는데 이를 고리로 해킹을 일삼고 있다. C사의 경우 협력회사에서 발송한 메일 때문에 랜섬웨어 공격을 받았다. 해커가 협력회사에서 사용하는 메일 계정을 훔쳐 C사를 공격했다. 메일 내에는 악성코드가 심어져 있었고, C사에서는 협력회사에서 보낸 메일을 확인한 것만으로 연구자료와 기계 설계도 등이 암호화돼 피해를 입었다.

사이버공격 피해 중 92%가 중소기업

중소기업의 사이버 보안 취약 문제는 꾸준히 지적돼 왔다. 실제로 한국인터넷진흥원에 따르면 지난해 국내에서 발생한 사이버공격의 피해 중 92%가 중소기업에 집중됐다. 중소기업은 보안 예산 등이 부족해 전문인력을 채용하는 것 자체가 부담으로 작용하기 때문이다. 하지만 협력회사의 보안 취약 문제가 결국 대기업과 중견기업으로 이어지면서 경각심이 더 필요하다는 지적이 나오고 있다.

전문가들은 대기업 등 원청이 피해를 입지 않으려면 결국 협력회사와 보안 대응 전략을 함께 마련하는 방법이 현실적이라고 조언했다. 원청에서 협력회사와의 보안 대응 전략을 함께 검토하고 필요한 보안 솔루션, 서비스를 도입하는 방식이 최선이라는 것이다.

국내 정보보안 1위 SK쉴더스는 PC, 서버 등의 엔드포인트 보안 위협 관리에 특화된 MDR(Managed Detection and Response) 서비스를 선보이고 있다. EDR(Endpoint Detection and Response) 솔루션을 운영하는 조직이 전문성 부족이나 예산 등의 문제를 해소하고 24시간 모니터링, 실시간 위협 탐지 분석 등의 고도화된 분석 서비스를 받아볼 수 있다. 또, 중견중〮소기업이 겪고 있는 보안에 대한 비용 및 관리적인 부담을 덜어낼 수 있는 월과금 형태의 맞춤 구독형 서비스 ‘사이버가드’를 선보이고 있다. ‘사이버가드’가 제공하는 백신, 방화벽 등 기본적인 보안 솔루션만 설치해도 랜섬웨어, 정보유출과 같은 공격에 대비해 큰 피해를 줄일 수 있다.

SK쉴더스 김병무 정보보안사업부장(부사장)은 “협력회사를 공격의 시작으로 삼는 침해사고가 크게 증가하고 있는 만큼 협력회사와의 보안 대응 협력, 최신 보안 기술 적용 등이 적극적으로 도입해야 하는 시점”이라며 “협력회사의 보안 투자에 대한 인식 개선 활동이 필요하다”고 강조했다.

최형창 기자 calling@hankyung.com

관련 뉴스

1

"AI 시대…해킹 대비 안하면 주가 떨어지고 큰 위기 닥쳐" [강경주의 IT카페]

"생성 인공지능(AI)으로 해킹도 고도화될 겁니다. 보안 투자에 인색하면 큰 위기가 닥칠 수 있습니다."변상경 삼성SDS 보안기술실장(상무)은 9일 한국경제신문과의 인터뷰에서 "보안이 이토록 큰 관심을 받은 적이 없다"며 놀라워했다. 생성 AI 시대를 앞두고 해킹 그룹의 지능적인 사이버 공격이 곳곳에서 탐지되고 있어 보안의 중요성이 커진 영향이다. 생성형 AI를 '양날의 검'이라며 표현한 그는 "해커와 보안팀 모두 AI를 이용하고 있다"며 "보안에 선제적인 투자가 이뤄지지 않으면 AI 시대의 '힘의 균형'이 해커 그룹으로 넘어갈 수 있다고 우려했다."보안에 돈 쓰기 싫다는 인식 가장 위험"변 실장은 1998년 미국에서 네트워크 시스템 엔지니어로 일하면서 정보기술(IT) 업계에 발을 내디뎠다. 2000년대 초 미국 중앙은행(Fed)에서 5년 간 IT 보안 감사 업무를 하며 본격적으로 보안에 뛰어들었고, 딜로이트 컨설팅으로 자리를 옮겨 보안 담당 매니저로 6년 간 일했다. 변 실장은 "지멘스에서 정보보안 총괄을, 워너브러더스디스커버리미디어에서 글로벌 보안 및 컴프라인언스 총괄을 맡으며 큰 무대에서 다양한 보안 경험을 쌓았다"고 입을 열었다.삼성SDS가 미 연준과 글로벌 기업에서 보안 경력을 쌓은 그를 영입한 게 5년 전이다. 대한민국 IT 시장이 커지면서 국내 대기업이 글로벌 해커 그룹의 본격적인 먹잇감이 된 시기다. 해외에서 활동하던 그가 한국행을 결정한 이유는 보안으로 한국 사회에 기여하고 싶었기 때문이다.변 실장은 "국내 대기업이 매출 규모에선 세계 최고 수준에 올랐지만 보안 인식이나 대비 상황은 과거에 머물러 있었다"며 "해킹이 얼마나 큰 피해를 가져오는지 알려야할 의무감을 느꼈다"고 전했다. 2019년 삼성SDS에 합류한 그는 정보보안전략팀장으로 일하다가 2022년 말부터 보안기술실장을 맡아 기획, 컨설팅, 솔루션, 관제 등 4개 분야를 아우르는 국내 최대 보안 조직을 이끌며 삼성그룹과 기업 고객 대상의 보안사업을 담당하고 있다.글로벌 시장에서 쌓은 보안 노하우를 전하기 위해 한국에 왔지만 합류 초반 만난 한 고객사는 "보안에 큰 돈을 쓸 필요가 있느냐"며 사사건건 보안 투자에 제동을 걸었다. 변 실장은 경영진을 대상으로 보안에 대규모 투자가 왜 필요한지 설득하기 위해 보고서를 직접 만들고 발로 뛰며 알렸다. 대비를 안하면 회사가 글로벌 시장에서 쌓은 신뢰를 단 번에 잃을 수 있다고 호소했다.변 실장은 "보안보다 해킹 보험에 가입하는 게 비용 지출을 줄일 수 있다고 말하는 사람도 있다"며 "기업 평판과 신뢰도 등 해킹 피해가 가져올 비재무적 요소는 보험으로 보상받을 수 없다"고 목소리를 높였다.2014년 발생한 소니픽쳐스 해킹이 대표적이다. 당시 소니픽쳐스가 북한을 주제로 영화를 제작하자 북한으로 추정되는 해킹 그룹이 회사를 공격해 5억달러(6700억원) 가량 피해가 발생했다. 회사 시스템이 멈추고 개봉도 안한 영화가 유출되자 주가가 폭락하고 투자자들의 지갑이 닫혔다. 기업 이미지 실추를 눈으로 확인하자 미국 주식시장에 상장한 기업의 50% 이상이 긴급 이사회를 열고 부랴부랴 보안 회의를 열었다.보안을 제대로 안하면 투자 시장에서 신뢰를 잃고 심지어 회사가 망할 수도 있다는 인식이 생긴 '하나의 사건'이었다. 변 실장은 "이를 계기로 전사적 위기관리 개념이 본격 확대됐다"며 "사이버 보안 사고를 재무 위기, 운영 위기, 자연 재해 정도의 위협으로 인식을 했고 주기적으로 이사회에서 보안임원을 불러 보안 수준과 성숙도, 대비 상황을 체크했다"고 회상했다. "웜 GPT·사기GPT 우려…AI가 30분이면 악성코드 제작"삼성SDS는 최근 IT, 제조, 금융, 운송, 회계 분야 등의 국내 대기업과 공공 부문 보안 전문가 700여 명의 설문 결과를 기반으로 올해 주목해야 할 5대 사이버 보안 위협을 선정했다. 삼성SDS가 선정한 5대 사이버 보안 위협은 △AI를 악용한 보안 위협 △하이브리드 환경에서의 클라우드 보안 위협 △개인·민감 정보 유출 △지속해서 진화하는 랜섬웨어 △공격 대상 확장에 따른 네트워크 보안 위협 등이다.변 실장은 해커가 '웜 GPT'(챗GPT의 다크웹 버전으로 생성형 AI 기반의 사이버 범죄 도구)와 '사기 GPT'(AI 기반의 피싱 도구) 등을 악용해 손쉽게 대량으로 악성코드를 제작하며 사이버 공격을 시도하는 것에 우려를 하고 있다. 그는 "과거 해커들이 보낸 이메일은 문장이 허술했지만 이제는 AI를 활용해 문법과 문맥을 넘어 문체까지 완벽히 따라한 글을 생성해 고퀄리티의 피싱 이메일을 만들고 있다"고 우려했다.공격 시간이 대폭 단축된 점도 문제로 꼽힌다. 그는 "과거 악성코드를 만들어서 심는데 최소 5시간이 걸렸다면 이제는 10분 1 수준까지 공격 시간이 줄었다"며 "생성형 AI를 이용해 악성코드의 기본 형태가 다 세팅이 돼 있기 때문"이라고 부연했다.삼성SDS는 생성 AI를 무기로 전사적 차원에서 위기관리 대응력을 대폭 강화했다. 학교 학습과 기업 업무, 재택 근무 활성화, 데이터 활용 급증, 클라우드 사용량 증가 등 악성코드가 침투할 수 있는 다양한 경로를 차단하기 위해 프리벤션(예방), 디텍션(발견, 탐지), 오토메이션(자동화)에 AI를 대입했다. 예를 들면 수많은 공격 중 치명적인 공격만 추려내 효과적으로 대응하는 방식에 AI를 사용한다.공격의 형태에 따라 미리 계획을 세워놓은 대로 대응할 수 있는 '플레이북'도 GEN AI 챗봇으로 대응한다. 변 실장은 "가장 중요한 건 대외비나 인사-재무-투자 등 '민감 정보' 보호"라며 "삼성SDS는 GEN AI를 통해 '민감 정보'가 생성형 AI의 데이터 학습에 사용되지 못하도록 장치를 구축해놨다"고 했다.고도화되는 공격에 정부도 2027년까지 정보보호산업 시장 규모를 30조원으로 키우기 위해 1조가 넘는 예산을 투입한다고 밝힌 상태다. 변 실장은 "정부의 보안에 대한 전향적인 접근에 큰 경의를 표한다"면서도 "여전히 해외와 비교하면 부족한 상황"이라고 덧붙였다.일례로 JP모간은 해킹을 막기 위해 연 20조원이 넘는 금액을 보안에만 쏟아붓고 있다. 정부의 공공SW 대기업 참여 완화 검토에 대해서도 입장을 밝혔다. 변 실장은 "공공SW 보안도 중소기업이 할 수 있는 게 있고, 대기업할 수 있는 게 있다"며 "기업의 크기로 나눌 것이 아니라 특성으로 구분해서 다양한 해킹의 공격을 폭넓게 대응하는 지혜가 필요하다"고 제언했다.대기업-협력사, 보안 시스템 연동 필요산업 구분이 갈수록 모호해지고 초국가 기업이 생겨나면서 보안도 '사슬 개념(security chain)'이 부상하고 있다. 대기업 민감 정보에 접근하려는 해커 그룹의 공격이 대기업을 넘어 협력사로 확대될 수 있다는 설명이다. 변 실장은 "국내 전체 중소기업 중 50% 정도는 보안 예산을 따로 편성하기 어렵고, 'CISO(최고정보보호책임자) 의무지정제'를 지켜야 하는 자산총액 5000억 미만 규모의 중견기업도 보안에 무관심한 경우가 많다"고 짚었다. 중소기업의 보안 역량을 상향 평준화 시켜야 대기업도 안전하다는 분석이다. 변 실장은 "글로벌 반도체 대기업은 보통 협력 관계를 맺고 있는 중소기업이 수천 곳인 데다 보안 방식도 제각각"이라며 "최근 해커 그룹은 협력사 중 보안 대비가 가장 허술한 곳을 집중 공략한 다음 역방식으로 상위 그룹에 접근하는 전술을 구사하고 있다"고 말했다.협력사 보안이 뚫리면 대기업의 정보도 새어나갈 수 있는 얘기다. 중소기업 보안 표준을 통일해 일관된 보안 대응을 필수라고 재차 강조했다. 실제 수만 곳의 협력사와 공급망 생태계를 촘촘히 구성한 TSMC는 보안 시스템을 협력사와 표준화해 연동하고 있다.글로벌 보안 시장에서 활동하던 그에게 한국에 오고 나서 가장 뿌듯했던 순간이 언제였는지 물었더니 "아무 일이 발생하지 않는 평상시의 순간"이라는 답변이 돌아왔다. 변 실장은 "보안 인력들은 보이지 않는 곳에서 고군분투하지만 드러나지 않는다"며 "이들을 사이버 상에서 굉장히 중요한 일을 하고 있다는 것을 국민과 고객사들이 알아주길 바란다"고 말했다.잘 때 항상 전화를 머리 맡에 끼고 자고, 반복적으로 2~3시간 마다 일어나 경보 확인을 한다는 변 실장은 인터뷰 내내 보안에 대한 사회적 인식을 높여야한다고 강조했다. 그는 "보안 인력 대우하지 않는 국가는 생성형 AI 시대에 주도권을 절대로 쥘 수 없을 것"이라고 마무리했다.강경주 기자 qurasoha@hankyung.com
2

"중국에 당했다" 발칵 뒤집힌 日…한국도 '초긴장' [강경주의 IT카페]

일본 외무성의 '외교 전문(電文)' 시스템이 중국의 사이버 공격에 뚫린 사실이 뒤늦게 드러났다고 외신이 보도했다. 해당 시스템은 일본의 재외공관과 기밀 정보를 주고 받는 채널이어서 다량의 기밀이 중국에 넘어갔을 가능성이 제기되고 있다.6일 일본 요미우리신문은 복수의 일본 정부 관계자를 인용해 2020년 외무성 본부와 해외 대사관·영사관 간 정보를 주고받는 '외교 전문' 전산망이 중국에 의해 해킹됐다고 보도했다. '외교 전문'이란 외교를 담당하는 정부부처와 해외공관이 공식적인 지시와 보고를 주고받을 때 사용하는 전보를 말한다. 외교관이 외국 정부로부터 얻은 극비 정보 등 각종 기밀사항을 포함하고 있는 만큼 특수암호를 사용한다. 1급 기밀로 취급되기 때문에 통상의 인터넷망과는 다른 '국제 IPVPN(인터넷 프로토콜 가상 사설망)'이라는 별도 보안망을 사용한다.요미우리신문은 "당시 유출된 기밀 정보의 내용은 불확실하지만 베이징에 있는 일본 대사관과 외무성이 주고받은 전문과 공문서 상당수를 중국 당국 측이 입수해 읽고 있었던 것으로 보인다"며 "공문서 중에서도 특히 기밀이 요구되는 외교전문 시스템이 뚫린 것은 극히 이례적인 일"이라고 지적했다.당시는 아베 신조 정권 말기로 중국의 부상에 따라 일본이 안보전략을 수정하고 '적 기지 공격능력(반격능력)' 보유를 검토하기 시작한 때다. 요미우리신문은 이런 배경을 언급하며 "중국이 외교 전문을 표적으로 삼은 이유는 일본 정부의 안보전략 검토상황과 미·일 양국이 공유하는 중국 관련 기밀정보를 빼내려는 의도가 있었던 것으로 보인다"고 분석했다.보도에 따르면 중국의 해킹을 파악한 미국은 일본에 폴 나카소네 미국 국가안보국(NSA) 국장을 급파해 긴급 회의를 가졌다. 매체는 "일본 정부와 기밀 정보를 공유하는데 대한 우려가 미국 내부에서 나왔다"고 전했다. 일본 외무성은 사이버 공격 피해 여부 등을 포함해 요미우리신문의 확인 요구에 응하지 않은 것으로 전해졌다. 외교 전문을 관리하는 일본 외무성 정보통신과는 "본건은 정보 보안상의 이유로 답변을 삼가겠다"고 매체에 밝혔다.일본은 이후 외무성과 함께 방위성, 경찰청, 공안조사청, 내각정보조사실이 시스템을 점검하고 취약성이 있는 프로그램을 개선했다. 미일 양국은 개선 진행 상황을 공유했으며, 미국 측은 계속 점검 및 각별한 강화 작업을 요구한 것으로 전해졌다. 지난해 8월 미 워싱턴포스트(WP)는 2020년 말 일본 정부의 기밀 안보 정보망이 중국 해커들의 공격을 받아 다량의 정보가 무차별로 노출됐다고 보도했지만 당시 외교 전문 시스템이 뚫렸다는 사실은 이번에 처음 알려졌다.일본 정부에 대한 중국의 해킹은 이번이 처음이 아니다. 2021년에는 중국 정부를 대리하는 해커 집단을 포함한 최소 2개 해커 집단이 미국과 일본 국방 기업, 연구 기관을 해킹했다는 의혹이 사이버 보안 업체에 의해 제기됐다.지난해 11월 일본 우주항공연구개발기구(JAXA)가 사이버 공격을 받아 내부 네트워크에 부정 접속이 이뤄졌을 가능성이 높다고 일본 정부가 밝힌 사건에 대해서도 중국이 배후로 지목됐다. JAXA는 미국의 유인 달 탐사 프로젝트인 '아르테미스 계획'에도 참여하고 있다.각 분야에서 지정학적 불확실성이 높아진 가운데 사이버 공간에서 국가 지원을 받는 해킹 그룹 활동이 눈에 띄게 증가한 만큼 대한민국 정부도 대비를 강화해야 한다는 지적이 나온다. 보안업계 관계자는 "중국 뿐만이 아니라 북한, 러시아, 이란 등의 지원을 받는 해킹 그룹 활동이 곳곳에서 포착되고 있다"며 "첩보 활동을 넘어 교통과 통신, 전력 등 주요 기반 시설을 마비시키려는 사이버 공격이 앞으로 더 고도화된 형태로 나타날 것"이라고 말했다.강경주 기자 qurasoha@hankyung.com
3

"해킹 돕는 '다크 챗GPT' 확산…보안 외면하면 대기업도 망한다"

2010년대 중반, 소니픽쳐스가 북한을 주제로 영화를 제작하자 북한 소속으로 추정되는 해커들이 이 회사를 공격해 5억달러(약 6700억원)가량 피해가 발생했다. 개봉도 안 한 영화가 유출됐고, 회사 시스템이 멈추고 주가는 폭락했다. 이를 지켜본 미국 증시 상장 기업 절반 이상이 긴급 이사회를 열고 부랴부랴 보안 점검 회의를 열었다. 정보보호 시스템이 부실하면 투자자 신뢰를 잃고 심지어 회사가 망할 수도 있다는 인식을 세계 시장에 던진 중요한 사건으로 회자된다.변상경 삼성SDS 보안기술 실장(상무·사진)은 2일 한국경제신문과의 인터뷰에서 “생성형 인공지능(AI) 시대를 맞아 해킹도 진화하고 있다”며 “보안 투자에 인색하면 큰 위기가 닥칠 수 있다”고 경고했다. ○생성 AI, 해킹 전성시대 열었다변 실장은 국내 최고 보안 전문가다. 1998년 미국에서 네트워크 시스템 엔지니어로 일하면서 정보기술(IT)업계에 발을 내디뎠다. 2000년대 초 미국 중앙은행(Fed)에서 5년간 IT 보안 감사 업무를 했다. 이후 딜로이트컨설팅으로 자리를 옮겨 보안담당 매니저로 6년간 일했다. 변 실장은 “지멘스에서 정보보안 총괄을, 워너브러더스디스커버리미디어에서 글로벌 보안 및 컴플라이언스 총괄을 맡으며 큰 무대에서 다양한 경험을 쌓았다”고 입을 열었다.그는 “보안이 요즘처럼 큰 관심을 받은 적이 없다”며 놀라워했다. 생성 AI 시대가 오면서 해킹 그룹의 지능적인 사이버 공격이 곳곳에서 탐지되고 있어 보안의 중요성이 커졌다는 설명이다. 생성형 AI를 ‘양날의 검’이라며 표현한 그는 “해커와 보안팀 모두 AI를 이용하기 때문에 보안에 선제 투자가 이뤄지지 않으면 AI 시대의 ‘힘의 균형’이 해커 그룹으로 넘어갈 수 있다”고 우려했다.삼성SDS는 그를 5년 전 영입했다. 대한민국 IT 시장이 커지면서 국내 대기업이 글로벌 해커 그룹의 본격적인 먹잇감이 된 시기다. 해외에서 활동하던 그가 한국행을 결정한 이유는 선진 보안 기술로 한국 사회에 기여하고 싶었기 때문이다.변 실장은 “국내 대기업이 매출 규모에선 세계 최고 수준에 올랐지만 보안에 관한 인식과 준비 상황은 과거에 머물러 있었다”며 “해킹이 얼마나 큰 피해를 가져오는지 알려야 할 의무감을 느꼈다”고 말했다. 2019년 삼성SDS에 합류한 그는 정보보안전략팀장으로 일하다가 2022년 말부터 보안기술실장을 맡아 기획, 컨설팅, 솔루션, 관제 등 4개 분야를 아우르고 있다. 삼성SDS 보안기술실은 국내 최대 보안 조직 중 하나다.글로벌 시장에서 쌓은 보안 노하우를 전하기 위해 한국에 왔지만 처음에는 순탄치 않았다. 초반에 만난 한 고객사는 “보안에 큰돈을 쓸 필요가 있냐”며 사사건건 부딪쳤다. 변 실장은 경영진을 대상으로 보안에 대규모 투자가 왜 필요한지 설득하기 위해 보고서를 직접 만들고 발로 뛰며 알렸다. 대비하지 않으면 회사가 글로벌 시장에서 쌓은 신뢰를 단번에 잃을 수 있다고 호소했다.그의 고군분투 덕에 삼성그룹에 전사적 보안 위기관리 개념이 비로소 생겼다. 사이버 보안 사고를 재무 위기, 운영 위기, 자연재해 정도의 위협으로 인식하기 시작했고, 주기적으로 이사회에서 보안 임원을 불러 보안 수준과 성숙도, 대비 상황을 확인했다. 변 실장은 “이제 보안에 대한 경영진의 관심이 매우 높다”며 “그룹 내 사이버 보안과 담당 조직에 관심이 커진 걸 느낀다”고 말했다. ○해킹 시간, 예전 10분의 1로 줄어요즘 해커들은 챗GPT의 다크웹 버전인 ‘웜GPT’와 AI 기반 피싱, 이른바 ‘사기GPT’로 손쉽게 대량으로 악성코드를 제작하며 사이버 공격을 시도하고 있다. 변 실장은 “과거 해커들이 보낸 이메일은 문장이 허술했지만, 이제는 AI를 활용해 문법과 문맥을 넘어 문체까지 완벽히 따라 한 글로 피싱 이메일을 제작하고 있다”고 전했다. 공격 소요 시간도 대폭 줄었다. 그는 “과거 악성코드를 만들어 심는 데 최소 5시간이 걸렸다면 이제는 공격 시간이 10분의 1로 줄었다”며 “생성 AI를 이용해 악성코드의 기본 형태가 다 ‘세팅’돼 있기 때문”이라고 설명했다.기술 융합이 빨라지면서 산업 구분이 모호해지고 초국가 기업이 활동 범위를 넓히면서 보안에서도 ‘사슬 개념(security chain)’이 부상하고 있다. 대기업 민감 정보에 접근하려는 해커 그룹의 공격이 대기업 협력사로 확대됐다는 것이다. 변 실장은 “글로벌 반도체 대기업은 보통 협력 관계를 맺고 있는 중소기업이 수천 곳인 데다 보안 방식도 제각각”이라며 “최근 해커 그룹은 협력사 중 보안 대비가 가장 허술한 곳을 뚫은 다음 역으로 목표 대기업에 접근하는 전술을 구사하고 있다”고 말했다. 수만 곳의 협력사와 공급망 생태계를 구성한 대만 TSMC는 보안 시스템을 협력사와 표준화해 연동하고 있다.그에게 한국에 오고 나서 가장 뿌듯했던 순간이 언제였는지 묻자 “아무 일도 발생하지 않는 평상시 순간”이라는 답변이 돌아왔다. 잘 때 항상 전화를 머리맡에 끼고 자고 2~3시간마다 일어나 경보 확인을 한다는 변 실장은 인터뷰 내내 보안에 대한 사회적 인식을 높여야 한다고 강조했다. 그는 “보안 인력을 대우하지 않는 국가는 생성 AI 시대에 주도권을 절대로 쥘 수 없을 것”이라고 강조했다.강경주 기자 qurasoha@hankyung.com