사이버 보안에서 인공지능의 윤리적 문제

인공지능(AI)의 급속한 발전은 사이버 보안 분야에도 급격한 변화를 가져왔다. 해커들은 AI 기반 도구를 사용하여 취약점 스캔을 자동화하고 공격 벡터를 예측하며 위협을 이전보다 빠르게 생성하고 있다. 이러한 인간의 창의성과 기계 학습의 융합은 사이버 보안 분야를 변화시키고 있으며, AI를 공격에 사용하는 사기꾼들이 있는 상황에서 방어 시스템 구축 시 AI의 윤리적 제약이 무엇인지에 대한 논쟁을 촉발했다.

IBM X-Force 보고서에 따르면, SCADA 시스템과 통신을 포함한 주요 인프라에 대한 사이버 공격이 30% 증가했다. 2025년 1분기에는 133만 대의 기기로 구성된 DDoS 봇넷이 발견되었으며, 이는 2024년 최대 봇넷보다 여섯 배나 큰 규모이다. IT 시스템의 침투 테스트를 수행하는 기업의 사이버 보안 부서는 ISO 27001, NIST, CIS 표준에 따라 연간 또는 주간이 아닌 매일 테스트를 수행하고 있다.

AI의 위협을 윤리적 방법으로 중화하기 위해 AI 기반 위협에 대한 보험이 필요해졌다. 특히 금융, 의료, 주요 인프라 부문에서 사이버 보험은 전략적 요구 사항이 되었다. 국제 보험사들은 고객이 정기적인 윤리적 해킹 평가를 수행할 것을 요구하고 있다.

미국 법무부의 업데이트된 지침에 따르면, 동의 하에 수행되는 윤리적 해킹은 법적으로 보호받으며, 보험사들은 기업의 회복력을 평가하기 위해 이를 점점 더 많이 활용하고 있다. 윤리적 해킹은 미국에서 안전한 비즈니스 운영을 위한 기본 요건이 되었으며, 포춘 500대 기업과 스타트업 모두에게 중요하다.

이스라엘에서는 윤리적 해킹이 2025-2028년 국가 사이버 보안 전략의 기초가 되었다. 그러나 윤리적 해킹의 반대자들은 '화이트'와 '블랙' 해커 간의 경계가 희미하다고 주장한다. 해커들은 합의된 범위를 넘어서는 취약점을 발견할 수 있으며, 이를 보고해야 할지, 이점을 활용해야 할지, 무시해야 할지에 대한 윤리적 문제가 존재한다.

이스라엘의 NetSight One의 사이버 보안 전문가 Gevorg Tadevosyan은 이 논쟁에 대해 의견을 공유했다. 그는 인공지능이 사이버 방어의 특정 측면을 개선했다고 인정하면서도, 공격적 목적으로 인공지능을 사용하는 것에 대한 위험을 경고하고 윤리적 해킹의 구현을 주요 방어 조치로 촉구했다.