"생성형 AI의 복잡성, 사이버 회복탄력성에 큰 도전 과제" PwC 보고서

AI의 급속한 발전이 한계를 넘어서고 규제 환경이 끊임없이 변화하면서 많은 기업이 사이버 회복 탄력성을 달성하는 것에 어려움을 겪고 있다.
 

ⓒ Getty Images Bank

전 세계 디지털 신뢰 상태를 파악하기 위해 진행된 PwC의 최근 설문조사에 따르면, 기업 중 단 2%만이 "조직 전반에서 모든 영역에 걸쳐 사이버 회복탄력성 조치를 시행했다"라고 응답했다.

PwC 사이버 및 프라이버시 혁신 연구소 리더 매트 고햄은 이런 결과가 생성형 AI와 같은 최신 AI 기술 도입으로 인해 사이버보안이 점점 복잡해지는 것과 밀접한 관련이 있다고 설명했다.

고햄은 "기업이 생성형 AI를 채택하면서 더 복잡하고 예측할 수 없는 공격 벡터에 직면하고 있다. 이런 복잡성은 시스템을 효과적으로 보호하는 것을 더욱 어렵게 만든다. 생성형 AI는 사이버 방어와 공격 양쪽에 모두 활용될 수 있다. 위협 탐지와 대응 능력을 향상하는 동시에, 위협 행위자가 대규모로 정교한 피싱 공격이나 딥페이크를 제작할 수 있도록 도와줘 기술이 부족한 공격자의 진입 장벽을 낮추기도 한다"라고 지적했다.

이처럼 생성형 AI가 가진 이중성은 사이버보안을 혁신하는 데 있어 이 기술의 역할에 대한 다양한 논쟁을 불러일으켰다. 

생성형 AI, 준비 부족 가중

조사에 따르면, 기업이 가장 우려하는 4대 사이버 위협은 클라우드 관련 위협, 해킹 및 정보 유출, 서드파티 침해, 연결된 기기에 대한 공격이다. 기업은 이들 위협에 대해 가장 준비가 부족하다고 인정했다. 

이런 위협 대부분은 클라우드와 AI에 대한 의존도가 높아지면서 촉발된 것이라고 PwC는 분석했다. 특히 생성형 AI의 성장은 기업의 사이버 준비 상태에 큰 영향을 미쳤다.

고햄은 "생성형 AI의 사용은 데이터 무결성, 프라이버시, 그리고 규정 준수에 대한 심각한 우려를 불러일으킨다. 기업은 진화하는 규제 의무를 해결해야 하며, 이는 생성형 AI의 도입과 거버넌스를 복잡하게 만들 수 있다"라고 덧붙였다.

또한 생성형 AI를 기존 시스템과 프로세스에 통합하는 것도 어려울 수 있으며, 적절히 관리되지 않으면 새로운 취약점이 발생할 수 있다. 설문조사에 응답한 기업 39%가 통합에 대해 우려를 표명했다.

조사에 따르면, 보안 책임자 67%는 지난 1년 동안 생성형 AI로 인해 공격 표면이 증가했다고 말했다. 동시에, 기업 78%는 지난 12개월 동안 생성형 AI에 대한 투자를 늘렸다고 밝혔다.

기업이 생성형 AI를 위협 인텔리전스, 악성코드 및 피싱 탐지, 대응 등에 활용하기 위해 서둘러 도입하고 있지만 내부 이해관계자의 39%가 여전히 해당 기술을 신뢰하지 못하고 있으며, 이로 인해 내부 통제가 불충분하다는 응답이 38%, 위험 관리가 미흡하다는 응답도 38%에 달했다.

경영진 간 인식 차이

기업이 AI 기반의 공격 표면을 해결하는 데 큰 어려움을 겪고 있는 가운데, 경영진 내에서는 이런 상황에 대한 인식 차이가 두드러지고 있다.

약 13% 기업은 CISO, CSO, CEO 간에 AI 및 회복탄력성 규정 준수에 대한 신뢰도 차이가 존재한다고 지적하며, 이 문제에 대한 조직의 공동 대응 가능성이 낮을 것이라는 암울한 전망을 나타냈다. 또한 주요 비즈니스 활동에 적극 참여하는 CISO는 약 49%에 불과해 사이버보안 중심의 비즈니스 결정이 적다는 사실도 드러났다.

경영진은 사이버 위험을 측정하는 것이 중요하다는 점을 인식하고 있지만, 조사 결과에 따르면 15%만이 사이버보안 위험의 재정적 영향을 상당 부분 측정할 수 있었다고 응답했다. 그러나 기업은 이런 잠재적 재앙을 막기 위해 점차 경각심을 갖고 대응 조치를 취하고 있다.

조사에 참여한 기업 72%는 AI 거버넌스에 대한 위험 관리 투자를 늘렸으며, 96%는 사이버보안 규제로 인해 지난 12개월 동안 사이버보안에 대한 투자를 증가했다고 말했다. 응답자 78%는 이런 투자가 사이버보안 태세를 개선하는 데 도움이 되었다고 답했다. 
editor@itworld.co.kr