“AI 기술이 더욱 정교해지고 악의적인 작업을 자동화할 수 있게 되면서 사이버 범죄자들이 실제 피해로부터 자신을 분리하는 것이 더욱 쉬워졌다. 이러한 분리 현상은 AI가 중개자 역할을 함으로써 범죄자와 범죄 행위의 결과 사이의 직접적인 연관성을 흐리게 만든다. '고통 거리두기 증후군(Suffering Distancing Syndrome)'은 AI가 악의적 공격 행동을 실행할 때 공격자가 실제 피해자의 고통을 목격하지 못하도록 하면서 발생한다. 공격자들은 AI에 그 책임을 전가시킨다.” -카스퍼스키 APAC 리서치 센터 GReAT팀 리더 비탈리 캄룩(Vitaly Kamluk)-
글로벌 사이버보안 기업 카스퍼스키 주최로 2023년 8월 23일부터 26일까지 인도네시아 발리에서 개최된 카스퍼스키 연례 아태지역 사이버 보안 주간(CSW)행사에서 비탈리 캄룩은 인공지능과 사이버보안 이슈에서 흥미로운 인사이트를 발표했다.
인공 지능(AI) 기술이 발전하고 정교해짐에 따라 방어자와 공격자 모두에게 새로운 기회와 도전 과제를 제공하고 있다.
AI를 활용한 자동화 공격은 이미 다양한 형태로 공격자들에 의해 활용되고 있다.
AI 기반 도구는 개인이나 조직을 표적으로 삼는 매우 그럴듯한 피싱 이메일, 메시지 또는 소셜 미디어 게시물을 만들 수 있으며, 계정에 무단으로 액세스하기 위해 수백만 개의 사용자 이름과 비밀번호 조합 프로세스를 자동화할 수도 있다. 특히 더욱 정교한 멀웨어를 만들어 보안솔루션 탐지 기능을 우회하고 소프트웨어 취약점을 자동으로 찾고 패치되지 않은 기기들을 대상으로 익스플로잇을 빠르게 개발해 공격을 진행하고 있는 것이 현실이다.
캄룩은 이 자리에서, 사이버 범죄자들이 자신의 행동이 초래할 결과에 대해 정서적, 도덕적으로 거리를 두는 현상에 AI가 어떻게 기여하고 있는지에 대해 자세히 설명했다.
AI 기술이 더욱 정교해지고 악의적인 작업을 자동화할 수 있게 되면서 악의적인 행위자들이 실제 피해로부터 자신을 분리하는 것이 더욱 쉬워졌다는 것이다. 이러한 심리적 분리 현상은 기술의 자율성 증가뿐만 아니라 AI가 중개자 역할을 함으로써 범죄자와 범죄 행위의 결과 사이의 직접적인 연관성을 모호하게 만들 수 있다고 그는 강조했다.
그는 이 현상을 '고통 거리두기 증후군(Suffering Distancing Syndrome)'이라고 말한다.
캄룩은 “Suffering Distancing Syndrome이란 용어는 인공지능 기술을 악용해 사이버 범죄를 일으킬 때 범죄자들이 자신들의 행동으로 인한 고통과 책임을 인지하지 않는 심리적인 현상을 나타내는 개념이다. 즉 범죄자들이 AI를 사용해 악의적 목적을 달성할 때 그 과정에서 발생하는 심리적인 방어 매커니즘”이라고 설명했다.
예를 들면, 범죄자들은 AI를 사용해 불법적 이익을 얻거나 여타 악의적 행동을 수행할 때 그 결과로 발생하는 고통과 피해로부터 자신을 회피하려는 경향이 있다. 이는 범죄자들이 자신의 행동에 대한 책임을 AI 기술에 전가시키려는 심리가 있다는 것.
캄룩은 범죄자들이 자신의 행동과 고통 사이에 거리를 두고 그 고통을 덜 느끼려는 심리적인 현상이 바로 ‘Suffering Distancing Syndrome’이며 이로 인해 악의적 행동이 더 쉽게 이뤄질 수 있는 위험성이 있다고 강조했다.
특히 범죄에 대한 책임 소재 전가는 사이버 보안, 법 집행, 기술 활용의 윤리적 경계에 광범위한 영향을 미칠 수 있다고 경고했다.
이어 캄룩은 AI 기술 확산으로 인해 IT 보안팀 내에서도 책임이 약화될 수 있다고 전했다.
그는 “AI가 정교한 사이버 보안 작업에 개입이 더욱 증가하면서 그 결과를 전적으로 인간의 결정으로 돌리기가 애매해 진다. 정보보안 조직에서 AI 활용이 늘어나고 중요한 결정을 AI가 하게 될때 책임 소재가 모호해 질 수 있으며 이는 법적인 문제로까지 이어질 수 있다”고 말했다.
한편 캄룩은 이런 문제 재기에 이어, 이를 해결 할 수 있는 실용적인 방안도 제시했다.
그는 AI 시스템에 대한 익명 액세스를 제한하고, AI가 생성한 콘텐츠의 출처와 조작에 대한 포괄적인 인사이트를 포함해 오용 및 남용을 처리하는 절차와 남용을 신고할 수 있는 정확한 출처를 남겨야 한다고 강조했다.
캄룩은 “유럽연합은 이미 AI의 도움으로 제작된 콘텐츠에 표시를 하는 것에 대한 논의를 시작했다. 이렇게 하면 사용자는 최소한 AI가 생성한 이미지, 사운드, 동영상 또는 텍스트를 빠르고 안정적으로 감지할 수 있는 방법을 확보할 수 있다. 또 모든 사람에게 가장 효과적인 방법은 인공 콘텐츠를 탐지하는 방법, 콘텐츠를 검증하는 방법, 남용 가능성을 신고하는 방법에 대한 인식을 높이는 교육이 필요하다. 또 개발자는 기술을 책임감 있게 사용하고 기술을 남용할 경우 어떤 처벌을 받는지 알아야 한다. 그러기 위해서는 학교와 사회에서 교육이 필수적이다”라고 전했다.
즉 캄룩은 잠재적 피해를 완화하기 위해 이중 용도 기술에 적용되는 거버넌스와 마찬가지로 AI 관련 활동에 대한 라이선스 및 감독의 필요성을 강조했다. AI의 기술적 측면뿐만 아니라 의도하지 않은 결과를 포함하여 AI가 생성한 콘텐츠의 잠재적 의미를 이해하는 데 있어서도 교육의 중요성도 강조한 것이다.
AI의 가능성은 무궁무진하지만, 책임감 있는 균형을 유지해야 하는 의무도 그에 못지않게 중요하다. 끊임없이 진화하는 AI 및 사이버 보안의 지형을 헤쳐나가는 과정에서 카스퍼스키와 비탈리 캄룩과 같은 전문가들은 보다 안전하고 책임감 있는 기술 미래를 촉진하는 데 앞장서고 있습니다.
그는 끝으로 "혹자는 AI가 인류 문명을 파괴할 종말의 중심에 있을 것이라고 예측한다. 또 재앙을 막기 위해 AI의 속도를 늦춰야 한다고 촉구하는 사람도 있다. AI의 등장으로 이미지부터 사운드, 딥페이크 동영상, 심지어 인간과 구별할 수 없는 텍스트 기반 대화까지 인간과 유사한 콘텐츠를 합성할 수 있는 기술이 획기적으로 발전한 것은 사실이다. 대부분의 기술 혁신이 그렇듯 AI는 양날의 검과도 같다. 하지만 이러한 스마트 머신에 대한 보안 지침을 마련하고 설정하는 방법을 알고 실천한다면 언제든지 AI 기술을 유리하게 사용할 수 있을 것”이라고 밝혔다.
카스퍼스키는 오는 10월 25일부터 28일까지 태국 푸켓에서 열리는 카스퍼스키 보안 애널리스트 서밋(SAS) 2023에서 사이버 보안의 미래에 대한 논의를 이어갈 예정이다. (인도네시아 발리 / 데일리시큐)
◆하반기 최대 정보보호 컨퍼런스 PASCON 2023 개최-보안교육7시간 이수 가능
○ 주최: 데일리시큐
○ 후원: 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회, 한국화웨이
○ 참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업 정보보호 담당자, 개인정보보호 담당자, IT담당자 등 1,000여 명 참석
(※보안실무자가 아니면 참석금지)
○ 일시: 2023년 9월 5일 화요일(오전9시~오후5시30분)
○ 장소: 더케이호텔서울 2층 가야금홀 전관
○ 솔루션전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션
○ 참가기업 : △한국화웨이 △좋을 △블랑코코리아 △클라우드네트웍스 △굿모닝아이텍 △노르마 △오픈텍스트 △넥스원소프트 △모니터랩 △옥타코 △트렌드마이크로 △지란지교에스앤씨 △파수 △롤텍 △아이티윈 △이지시큐 △엠클라우독 △퓨쳐시스템 △씨디네트웍스 △센티널테크놀로지 △다크트레이스(Darktrace) △지란지교데이터 △에프원시큐리티 △에스에스알 △인스피언 △스콥정보통신 △한국전자인증 △디지서트 △엘세븐시큐리티 △트리니티소프트 △스냅태그 △KISIA
○ 보안교육인증: 공무원 및 기업 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간 수료증 발급
○ 참석문의: 데일리시큐 길민권 기자/ mkgil@dailysecu.com
○ 사전등록: 클릭
○ 공공, 기업 보안책임자/실무자가 아니면 참석이 금지됩니다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
