AI를 무기로 삼은 사이버 공격자들이 이미 인간의 반응 속도로는 따라잡을 수 없는 영역으로 진입했다는 경고가 국내 보안 전문가 포럼에서 나왔다. 팔로알토 네트웍스 구자만 전무는 서울에서 열린 사이버보안 기술 전략 컨퍼런스에서 “공격자는 이미 머신 스피드(machine speed)로 움직이고 있다”며 전통적 방어 패러다임의 한계를 직접 지적했다. 패치 관리, 취약점 스캔, 익스플로잇 개발, 침투 테스트까지 순차적으로 진행하던 과거의 공격 주기는 수개월이 걸렸지만, 최신 AI 도구의 등장으로 이 과정이 극적으로 단축되고 있다는 분석이다. 이 경고가 공허한 위기론에 그치지 않는 이유는 공격 속도의 변화가 단순히 ‘빨라졌다’는 수준이 아니라 방어자가 탐지하는 시점보다 공격이 완료되는 시점이 앞당겨지는 구조적 역전을 가리키기 때문이다.
가장 핵심적인 변화는 AI 에이전트 간 협업이 가져오는 속도 증폭이다. 구 전무는 프런티어 AI, 즉 최고 성능의 AI 모델을 활용하면 개별 공격 단계들이 병렬로 동시에 진행되며, 여러 AI 에이전트가 정보를 공유하고 역할을 분담함으로써 전체 사이클이 훨씬 빨라진다고 설명했다. 이는 결국 인간 보안 전문가가 탐지하고 대응하기 전에 공격이 완료되는 시나리오가 현실화됨을 의미한다. 기존에는 위험도가 높은 취약점을 중심으로 우선순위를 정해 대응했지만, 이제는 위험도가 낮은 여러 취약점을 AI가 자동으로 조합해 새로운 공격 경로를 만드는 방식도 관측되고 있다. 이른바 ‘취약점 체이닝’ 자동화다. 개별로는 심각하지 않은 취약점 여러 개를 조합하면 치명적인 공격 경로가 만들어질 수 있는데, 사람이 일일이 찾아내기 어려운 이 조합을 AI가 빠르게 도출해 낸다는 점이 위협의 새로운 차원으로 지적된다.
랜섬웨어 공격 양상의 변화는 이 흐름을 가장 잘 보여주는 사례다. 전통적인 랜섬웨어는 피해자의 데이터를 암호화한 뒤 복호화 키 대가로 암호화폐를 요구하는 금전 목적 공격이었다. 그러나 최근에는 암호화 피해조차 없는 랜섬웨어 공격이 전체의 25%에 달할 정도로 변형이 다양해졌다. 일부 공격자는 데이터를 먼저 손상시키고 나중에 협박하거나, 암호화를 완료하고도 금전을 요구하지 않는 전술을 택하고 있다. 데이터 공개 위협을 2차·3차로 반복하며 피해자를 장기간 압박하는 방식도 증가했다. 이는 공격 대상이 충분히 많아졌기 때문에 개별 피해자에게 집중하지 않아도 효율을 낼 수 있다는 현실을 반영한다.
이에 대응하기 위해 구 전무가 제시한 방향은 크게 두 축이다. 첫 번째는 AI를 활용한 선제적 취약점 발견과 패치 자동화다. 공격자가 취약점을 발견하기 전에 방어자가 먼저 찾아 조치해야 하며, 이를 위해 최신 AI 모델과 AI 스캐닝 도구를 적용하고 패치 프로세스를 자동화해야 한다고 강조했다. 같은 기술을 오픈소스 공급망에도 적용해 외부 코드에서 유입되는 위협을 조기에 차단할 필요가 있다. 두 번째는 실제 공격으로 이어질 가능성이 높은 취약점을 식별하는 ‘도달 가능성 기반 평가’다. 이론적 취약점 전체를 동등하게 관리하는 방식은 자원 낭비를 유발하므로, 실제 공격 경로로 활용될 수 있는 취약점을 우선 파악하고 집중해야 한다는 논리다.
대응 시간 단축 목표도 구체적으로 제시됐다. 평균 탐지 시간(MTTD)과 평균 대응 시간(MTTR)을 분 단위 수준으로 낮추는 것이 현실적 목표로 제안됐다. 과거에는 시간 단위, 혹은 그 이상이 걸리던 탐지와 대응 주기를 AI가 실시간으로 단축해야만 머신 스피드 공격에 효과적으로 맞설 수 있다는 판단이다. 외부에 노출된 공격 표면(attack surface)에 대한 즉각적인 조치, 조직 전체를 아우르는 전사적 보호 체계 구축, 동원 가능한 모든 보안 솔루션에 최신 기법과 규칙을 적용하는 100% 예방 목표도 강조됐다. 이는 기존의 ‘충분히 좋은 보안’에서 ‘전면적 실시간 방어’로의 전환을 요구한다. 보안 업계에서 MTTD와 MTTR을 분 단위로 끌어내리는 것이 가능하려면 자동화된 탐지·격리·복구 체계가 유기적으로 연동돼야 하며, 이 과정에서 사람의 역할은 개별 사건 대응자에서 시스템 감독자로 이동한다는 점이 중요한 함의다.
이 같은 경고가 중요한 이유는 단순히 공격 기술의 진화를 알리는 데 그치지 않기 때문이다. 방어 조직이 AI를 도입하지 않으면 구조적으로 불리한 위치에 놓인다는 점이 핵심이다. 공격자는 AI를 이용해 병렬로 여러 대상을 동시에 탐색하고 공략할 수 있지만, 방어자가 여전히 사람 중심의 순차적 대응 절차를 유지한다면 속도 격차는 점점 벌어진다. AI 에이전트의 확산이 새로운 공격 표면을 만들고 있다는 논의가 업계 전반으로 퍼지고 있으며, 보안 아키텍처의 근본적 재설계가 필요한 시점이라는 인식이 커지고 있다.
국내 기업 환경에서도 이 문제는 이미 현실이다. 금융, 의료, 공공 부문에서 랜섬웨어 피해가 꾸준히 보고되고 있으며, 오픈소스 소프트웨어 공급망을 통한 취약점 유입이 증가하고 있다. AI 기반 공격 도구가 사이버 범죄 커뮤니티에서 점차 상품화되면서, 고도로 정교한 공격을 수행하는 데 필요한 기술 장벽이 낮아지고 있다. 대기업뿐 아니라 중소기업도 공격 대상에서 벗어나기 어려운 환경이 됐다는 점에서, AI 기반 보안 자동화에 대한 투자를 미루는 것은 실질적인 리스크를 키우는 선택이 될 수 있다. 특히 공공기관과 중요 인프라는 공격 대상으로서 가시성이 높으면서도 예산과 인력 제약으로 보안 자동화 전환이 더딘 경우가 많아, 머신 스피드 공격에 상대적으로 취약한 구조를 가지고 있다는 점도 직시해야 할 현실이다.
한편 AI 기반 방어 전환이 모든 조직에 즉각적으로 가능한 해법인지에 대해서는 현실적인 한계도 존재한다. AI 보안 솔루션을 도입하는 데는 상당한 초기 비용과 전문 인력이 필요하며, 오탐(false positive) 관리와 모델 갱신 체계 없이 AI 탐지 시스템을 운영하면 오히려 대응팀의 피로도를 높이는 역효과가 날 수 있다. 100% 예방을 목표로 한다는 방향 제시는 이상적이지만, 현실에서는 탐지 후 신속한 격리와 복구 능력을 균형 있게 갖추는 것이 보다 실현 가능한 목표일 수 있다. 공격자가 AI를 쓴다는 사실이 방어자도 AI를 써야 한다는 당위를 만들지만, 그 전환 과정이 얼마나 체계적으로 이뤄질 수 있는지는 조직의 준비도와 자원에 따라 크게 달라진다. AI 기반 사이버 방어 솔루션에 대한 관심이 높아지는 만큼, 도입 효과를 실증적으로 검증하는 절차가 병행돼야 한다는 점도 간과해서는 안 된다.
경쟁 구도 측면에서 보면 AI 기반 사이버보안 시장에서 팔로알토 네트웍스가 선점 효과를 누리고 있지만, 크라우드스트라이크(CrowdStrike)·센티넬원(SentinelOne)·마이크로소프트 디펜더 등 경쟁사들도 AI를 전면에 내세운 위협 탐지와 자동 대응 체계를 빠르게 강화하고 있다. AI 보안 솔루션 시장의 핵심 경쟁 축은 탐지 정확도와 대응 속도를 동시에 높이면서 오탐율을 낮추는 기술 역량이 될 것으로 판단된다. 이 경쟁이 격화될수록 기업 보안 담당자 입장에서는 선택지가 다양해지는 이점이 있지만, 벤더별 플랫폼 간 호환성과 데이터 이동성이 새로운 선택 기준으로 부상할 가능성이 있다. 보안 아키텍처를 단일 벤더에 종속시키는 방식이 운영 효율을 높이지만 공급 리스크를 키운다는 점도 함께 고려해야 하는 전략적 균형 과제다.
