AI 및 양자 컴퓨팅과 같은 신기술의 발전으로 인해 데이터 유출 및 사이버 위협이 점점 더 정교해지고 있다. 이러한 발전으로 인해 IT 보안 및 개인정보 보호의 전통적인 패러다임은 급격한 변화를 겪고 있다.

IT 연구 및 자문 분야의 글로벌 리더인 인포테크 리서치 그룹(Info-Tech Research Group)은 공격으로부터 조직을 보호하기 위해 노력할 때 직면하는 새로운 과제를 보안 리더에게 안내하기 위해 “보안 및 개인 정보 보호를 위한 지수형 IT” 연구 보고서를 발표했다. 이 보고서는 정보 보안의 새로운 현실을 탐색하는 데 도움이 되는 포괄적인 로드맵을 제공한다.

이 보고서는 기술 리더가 성숙도와 가치 창출 역량을 향상할 수 있도록 안내하기 위해 설계되었다. 기술 변화의 기하급수적 진행과 해당 변화를 성공적으로 관리하는 IT 능력의 선형적 진행 사이의 격차 해소를 목표로 한다.

케이트 우드(Kate Wood) 인포테크 리서치 그룹 연구 실무 책임자는 "오늘날 정보 보안 부서는 여러 면에서 어려움을 겪고 있다. 자격 증명 및 ID 손상이 급증하면서 기업에 대한 랜섬웨어 공격 사례도 늘어나고 있다."라며, "보안 리더들은 자산을 보호하고, 이해관계자의 개인정보를 보호하고, 규정을 준수하기 위해 제로 트러스트 아키텍처를 구현하고, 자동화를 늘리고, 데이터를 관리하려고 한다. 그러는 동안 보안 실무자들은 지쳐서 떠나고 점점 더 많아지고 있다. 유지하고 재고용하는 데 비용이 많이 든다."고 말한다.

보고서는 자율 보안 운영 센터(SOC)가 현실이 되어 위협 탐지 및 대응에 탁월한 효율성을 제공하는 미래를 설명한다. 그러나 이러한 자동화는 특히 지속적인 윤리적 보증과 책임감 있는 개인 데이터 사용을 보장하는 데 있어 새로운 과제를 가져온다는 점도 주의해야 한다. 이 연구에서는 한때 기술적 개념이었던 제로 트러스트 행동이 이제 일상적인 상호 작용에 어떻게 스며들어 모든 수준에서 보안과 신뢰를 보장하기 위해 조직 행동의 포괄적인 변화를 요구하는지 탐구한다.

프레드 책넌(Fred Chagnon) 인포테크 리서치 그룹 수석 연구 이사는 "기하급수적인 기술의 발전은 정보 보안에 해로움과 이익이 될 것이다."라며, "자산과 인프라에 대한 더 깊은 이해와 학습된 압박감, 위협, 자세를 결합하면 AI가 자율적으로 전술적 결정을 내려 보안 운영을 완전히 혁신할 수 있다."고 말했다.

보고서는 IT 분야의 보안 및 개인정보 보호의 미래는 기술 발전 뿐만 아니라 보안 인식 및 윤리적 책임이라는 새로운 문화에 적응하는 것에도 달려 있음을 강조한다. 이러한 변화에는 안전하고 신뢰할 수 있는 디지털 환경을 조성하기 위해 기술, 사람, 프로세스를 조정하는 전체적인 접근 방식이 필요하다.

우드는 "자율적인 전술적 의사 결정을 위해 AI를 더 많이 사용할수록 개인 데이터의 오용 가능성과 AI의 윤리 문제에 대한 한계가 더욱 커진다. 이러한 위험을 완화하고 관련 문제를 완화하는 것이 기하급수적인 IT 세계에서 CISO의 존재 이유이다."고 말했다.

개인정보보호·윤리적 행동 유지·진화하는 위협에 대비하는 방법

보고서는 보안 리더가 최고 수준의 개인정보 보호 및 윤리적 행동을 유지하면서 진화하는 위협 환경을 사전에 해결하기 위해 구현할 수 있는 조치를 제시한다.

① 더 정교하다고 가정

AI 기반 공격으로부터 방어를 위해 보안 팀은 위협 행위자가 AI를 활용하여 공격 능력을 강화한다는 현실에 적응해야 한다. 이들 팀은 공격자가 법률과 규정의 제약 없이 활동한다는 점을 이해하면서 다형성 APT와 제로데이 위협의 증가를 예상해야 한다.

② 초기 단계로 돌아가기

만연한 개인정보 보호 위험을 완화해야 한다. 조직이 AI 지원 기능을 빠르게 채택함에 따라 IT 부서는 의도하지 않은 보안 및 개인정보 보호 영향을 감지하고 완화해야 한다. 이 프로세스에는 특히 의도하지 않은 PII 노출 및 개인정보 보호 규정 준수 측면에서 수집된 데이터의 속도, 범위 및 양과 관련된 위험을 관리하는 작업이 포함됩니다.

③ 주저함 극복

자율적인 의사 결정 활성화가 필요한다. IT 리더는 AI 시스템이 감사 권장 사항의 우선 순위 지정, 위험 완화, 구현 노력 제어 등의 영역에서 정보에 근거한 결정을 자율적으로 내릴 수 있도록 지원해야 한다. 이 접근 방식을 사용하려면 AI 의사 결정 프로세스를 조직의 목표 및 위험 성향에 맞춰 AI 기반 조치가 효과적이고 비즈니스 목표에 부합하도록 해야 한다.

책넌은 "위협 행위자들은 곧 직원들과 협력하여 생성 AI를 딥페이크 비디오 및 음성 합성과 결합하여 우리의 신뢰에 대한 이해를 뒤흔드는 사회 공학 공격 환경을 만들 것"이라며, "보안 리더는 미래의 AI 기반 위협으로부터 기업을 보호할 수 있는 기회를 얻으려면 이러한 기하급수적인 기술을 방어에 활용해야 한다."고 조언했다.

보고서는 기하급수적인 기술 발전이 IT 보안 환경에 미치는 혁신적인 영향을 강조한다. 보안 리더는 보고서에서 제시한 전략적 조치를 채택함으로써 보안과 개인 정보 보호가 단순히 방어에 관한 것이 아니라 윤리적 책임과 사전 위험 관리에 관한 미래를 향해 조직을 이끌 수 있다. 이러한 접근 방식은 보안 태세를 강화할 뿐만 아니라 보안 전략을 보다 광범위한 비즈니스 목표에 맞춰 조정하여 빠르게 진화하는 디지털 세계에서 보안을 조직의 탄력성과 성공에 중요한 기여자로 자리매김한다.