리투인 보안센터 · 기술블로그

인공지능 이메일 보안 솔루션

인공지능에게 채팅으로 지시하세요. 자체 개발 SLM(특정언어모델)을 탑재하여 채팅하듯 자연스러운 대화로 관리자의 의도대로 메일을 찾아 대응합니다.

MAIL PRISM AI 자세히 보기

AI가 공격하는 시대, 우리 회사는 무엇을 준비해야 할까?

혹시 이런 상상 해보신 적 있나요? 

해커가 밤새 컴퓨터 앞에 앉아서 한 땀 한 땀 공격 코드를 짜는 모습이요. 사실 요즘은 그 해커 옆에 '일 잘하는 AI 조수'가 붙어 있다고 보면 됩니다. 

사람이 며칠 걸려서 할 일을 AI가 몇 시간 만에, 그것도 훨씬 더 많은 곳에 동시에 시도할 수 있게 됐거든요.

그래서 최근 KISA(한국인터넷진흥원)에서 "AI 시대에 기업은 이렇게 대비하세요"라는 가이드를 냈는데, 어렵게 느껴지는 보안 이야기를 최대한 쉽게 풀어서 정리해봤습니다. 

IT 담당자가 아니어도, "아 우리 회사도 이런 건 한번 챙겨봐야겠다" 싶은 내용들입니다.


1. 방범 CCTV도 이제 AI가 돌린다

예전에는 보안 담당자가 하루에 한두 번 로그(기록)를 확인하고 "이상 없네" 하고 넘어가는 경우가 많았습니다. 하지만 이제는 그런 방식으로는 공격 속도를 따라가기 어렵습니다. 공격이 AI를 활용해 훨씬 빠르고 정교해진 만큼, 방어 역시 24시간 감시 카메라처럼 AI가 상시 이상 징후를 감시하고, 위험을 감지하면 즉시 대응하는 체계로 바뀌어야 합니다. 사람이 하루 종일, 밤새도록 모든 시스템을 지켜볼 수는 없기 때문입니다.

조금 더 구체적으로 보면, 문제가 발생했을 때 복구까지 최대한 자동으로 이루어질 수 있도록 준비해두는 것이 중요합니다.

예를 들어 화재가 발생했을 때 사람이 소화기를 찾으러 뛰어가는 것보다 스프링클러가 자동으로 작동하는 편이 훨씬 빠릅니다. 보안도 마찬가지입니다. 사고가 발생하면 누군가가 상황을 인지하고 조치하기를 기다리는 것이 아니라, 시스템이 스스로 복구를 시작하도록 설계하는 것이 훨씬 효과적입니다.

다만 자동화만으로 모든 상황을 해결할 수 있는 것은 아닙니다. 실제 사고를 가정해 대응 절차를 반복적으로 점검하고 훈련하는 것도 중요합니다. 이는 화재 대피 훈련과 비슷합니다. 실제 화재가 발생했을 때 처음 겪는 사람과 한 번이라도 훈련을 경험한 사람은 대응 속도와 혼란의 정도에서 큰 차이를 보이듯, 보안 역시 평소의 준비와 훈련이 사고 발생 시 대응 능력을 좌우합니다.


2. "보안은 IT팀 일"이라는 착각

정말 많은 회사가 여기서 실수를 합니다. 

보안 사고가 나면 "그건 전산팀 담당이지"라고 생각하기 쉽습니다. 사실 회사 문을 잠그는 건 경비원 혼자만의 일이 아닙니다. 직원이 이상한 이메일 링크 하나만 눌러도 회사 전체가 뚫릴 수 있다는 것을 생각하면 쉽게 이해할 수 있습니다.

그래서 대표님부터 신입사원까지, "보안은 회사가 망하지 않기 위한 기본 중의 기본"이라는 인식을 모두가 갖는 것이 첫걸음입니다. 그리고 이러한 인식은 실제 대응 능력으로 이어져야 합니다. 이를 확인하는 방법 중 하나가 "우리 회사는 문제가 생겼을 때 얼마나 빨리 알아채고, 얼마나 빨리 복구하는가"를 숫자로 측정해 보는 것입니다.

예를 들어 문제가 생긴 걸 알아채는 데 평균 며칠이 걸리는지, 문제를 해결하는 데 또 며칠이 걸리는지 같은 것들입니다. 이런 걸 평소에 재본 적이 없는 회사가 생각보다 많습니다.

마치 건강검진을 한 번도 안 받아본 사람이 자기가 건강한지 아닌지 감으로만 짐작하는 것과 비슷한데, 일단 숫자로 확인을 해봐야 어디를 고칠지도 보이는 법입니다. 그리고 이런 부분을 경영진이 직접 챙긴다는 것 자체가, 직원들에게 "우리 회사는 이걸 중요하게 생각하는구나"라는 메시지를 주는 효과도 있습니다.


3. 우리 회사는 어떤 재료로 요리하고 있는지는 알아야죠

회사에서 쓰는 소프트웨어들은 사실 여러 '레고 블록'을 조립해서 만든 경우가 많습니다. 

그런데 그 블록 중 하나가 이미 망가져 있다면? 아무리 겉을 예쁘게 조립해도 위험하겠죠. 그래서 "우리가 지금 어떤 부품(오픈소스)들을 쓰고 있는지" 목록을 만들어두고, 혹시 그중에 이미 알려진 결함이 있는 건 아닌지 주기적으로 확인하는 게 중요합니다. 

다행히 이런 확인 작업을 자동으로 해주는 도구들도 있습니다.

이게 왜 중요하냐면, 이 '부품 목록'은 공격자 입장에서는 반대로 아주 유용한 정보이기 때문입니다. 어떤 부품에 어떤 결함이 있는지는 이미 인터넷에 공개돼 있는 경우가 많습니다. 마치 우리 집 현관문이 어느 회사 제품인지 알면, 그 제품의 알려진 결함(예: 특정 방법으로 열린다는 정보)을 찾아서 시도해볼 수 있는 것과 비슷합니다. 

그래서 "우리 집엔 어떤 문이 달려 있는지"부터 파악해야, 그 문에 문제가 있다는 뉴스가 나왔을 때 "아, 우리도 확인해야겠다"고 바로 움직일 수 있는 겁니다. 반대로 목록조차 없다면, 문제가 터졌다는 소식을 들어도 "그게 우리랑 상관 있는지 없는지"조차 알 수가 없겠죠.


4. "사내 네트워크 안에 있으면 안전해"라고 말하지 마세요

예전에는 회사 건물 안에만 들어오면 어느 정도 믿고 넘어갔습니다. 

마치 아파트 정문 경비만 통과하면 각 세대 문은 안 잠가도 된다고 생각하는 것과 비슷합니다. 하지만 요즘은 재택근무, 개인 노트북, 외부 협업 툴까지 뒤섞이면서 "일단 의심하고, 접속할 때마다 확인한다"는 방식으로 바뀌고 있습니다.

이걸 어려운 말로 '제로트러스트'라고 부르는데, 쉽게 말하면 "누구든, 문 열 때마다 신분증 다시 보여주세요"인 셈입니다.

한 번에 다 바꿀 수는 없으니, 회사마다 지금 어느 수준에 있는지 단계별로 점검해보라는 이야기도 있습니다. 아예 손도 못 댄 단계부터, 몇 가지는 자동화된 단계, 전체가 중앙에서 통합 관리되는 단계, 그리고 모든 게 실시간으로 자동 대응되는 가장 발전된 단계까지 나눠볼 수 있습니다. 이건 마치 운전 실력이 "초보 → 익숙함 → 능숙함 → 베테랑"으로 나뉘는 것과 비슷합니다.

중요한 건 우리 회사가 지금 어디쯤 있는지 인정하고, 다음 단계로 한 칸씩 올라가는 것이지, 처음부터 완벽한 최종 단계를 목표로 조바심 낼 필요는 없다는 점입니다. 작은 회사라면 우선 "누가 우리 시스템에 접속하고 있는지" 목록부터 만드는 것만으로도 충분히 의미 있는 첫걸음이 됩니다.


5. 결국은 기본이 제일 강력하다

AI 시대라고 해서 대단히 특별한 대책만 있는 게 아니라, 결국은 기본을 얼마나 잘 지키느냐가 가장 중요하다는 겁니다.

  • 자산 목록 파악
  • 외부 접점 자산 우선 관리
  • 계정 정리
  • 2단계 인증 적용

먼저 자산 목록 파악부터 시작해야 합니다. 회사가 쓰는 컴퓨터·서버·서비스를 한 번씩 다 점검해보는 건데, 의외로 "이거 아직도 쓰고 있었어?" 싶은 것들이 나옵니다.

이렇게 파악한 자산 중에서도 홈페이지, 이메일, 사내 원격 접속 프로그램처럼 외부에서 접근 가능한 것들은 공격자가 가장 먼저 노리는 지점이라 우선적으로 최신 상태를 유지해야 합니다.

여기에 더해 안 쓰는 계정이나 필요 이상으로 큰 권한을 가진 계정도 함께 정리하고, 비밀번호 하나만 믿지 말고 로그인 시 문자 인증 같은 2단계 인증까지 켜두면 기본은 충분히 갖춰집니다.

이 네 가지만 잘 지켜도 공격자 입장에서는 "이 회사는 손 대기 귀찮네" 라고 느끼게 됩니다.


6. 혼자 끙끙대지 말고, 다 같이 정보 나누기

마지막은 협력입니다. KISA는 C-TAS(Cyber Threat Analysis & Sharing)라는 사이트를 통해 이미 위협 정보를 공유하고 있는데, 크게 두 가지 방식으로 이용할 수 있습니다.

개방형 C-TAS (ctas.krcert.or.kr)

진입장벽이 낮은 쪽입니다. 홈페이지에서 회원가입 신청 후 관리자 승인만 받으면 바로 이용 가능하고, 별도의 협의나 서류 절차가 없습니다. 가입 시 담당자를 '책임자(정보보호최고책임자급)'와 '실무자'로 구분해서 신청하며, 역할에 맞게 자료가 제공됩니다.

  • 책임자: 정보보호 법 동량, CISO용 자료
  • 실무자: 실제 업무에 쓰는 위협정보, 보고서

여기에 더해 긴급 상황 발생 시 문자·카카오톡·이메일로 바로 알려주는 실시간 알림 서비스도 함께 제공됩니다.

공유형 C-TAS (cshare.krcert.or.kr:8443)

조금 더 본격적인 방식입니다. 우리 회사 보안 시스템(방화벽, 침입탐지시스템 등)에 위협 정보를 자동으로 연동해서 실시간으로 반영하고 싶은 회사를 위한 서비스로, API를 통해 KISA와 회원사들이 서로 위협 정보를 주고받는 구조입니다. 다만 가입 전 KISA와 협의를 거치고 보안서약서를 제출해야 하는 등, 개방형보다 절차가 좀 더 있습니다.

정리

처음 시작하는 회사라면 부담 없이 개방형 C-TAS부터 가입해서 위협 정보와 알림을 받아보고, 이후 여력이 되면 보안 시스템과 자동 연동되는 공유형까지 검토해보는 순서가 자연스럽습니다. 등록 관련 문의는 ctashelp@krcert.or.kr로 하면 됩니다.