[디지털투데이 강진규 기자] 본격적인 코로나19  엔데믹(풍토병화) 시대를 맞아 사이버위협이 진화하고 있다는 경고가 나왔다. 

최근 국가정보원, 과학기술정보통신부, 행정안전부, 개인정보보호위원회, 금융위원회, 외교부가 합동으로 내놓은 '2023 국가정보보호 백서'에 따르면 코로나19 상황을 악용한 위협이 줄어든 대신 인공지능(AI)·클라우드 등 새로운 시대 흐름을 반영한 위협이 늘고 있다.

정부는 지난해 백서에서 코로나19 장기화로 재택 및 원격 근무가 늘어나면서 관련 보안 위협이 증가하고 있다고 경고했다. 백서는 원격 근무자들이 회사에서 요구하는 최소한의 보안조치도 이행하지 않는다면 개인뿐 아니라 기업에도 심각한 피해를 일으킬 수 있다고 했다. 또 코로나19로 인해 다양한 분야에서 디지털 대전환이 진행되고 원격 근무 등으로 기업 네트워크에 접속하는 기기가 다양화되면서 이에 대한 보안 위협도 증가하고 있다고 지적했다.

이는 2020년 초부터 코로나19가 전 세계로 확산되면서 비대면 원격근무가 확산됐고 이를 노리는 사이버위협이 증대된 것의 영향이 컸다. 하지만 정부는 6월 1일 0시를 기점으로 코로나19 위기 경보 단계를 '심각'에서 '경계'로 하향 조정했고 대부분 방역 조치는 해제됐다. 사실상 코로나19가 종식된 것이다.

이에 2023년 백서에서는 코로나19 관련 위협이 빠지고 최신 IT 기술 확산에 따른 위협들이 포함됐다. 

정부는 챗GPT 등 대규모 언어 모델에 기반한 대화형 인공지능(AI) 서비스가 가져올 위협을 경고했다. 

대화형 인공지능 서비스가 일반 사용자와 상호작용해 자연스러운 대화를 제공하고, 다양한 작업을 수행할 수 있지만 AI를 악용한 사이버보안 위협 역시 중요한 문제로 부각되고 있다는 것이다.

정부는 범죄자들이 대화형 AI 모델을 스팸이나 사기에 활용할 수 있으며 가짜뉴스를 만들어 사회를 교란시킬 수 있다고 우려했다. 또 AI로 텍스트를 분석해 이름, 전화번호, 이메일 주소 등과 같은 개인정보를 추출, 수집하고 악의적인 목적으로 사용할 수 있다고 지적했다.

백서는 “국가 차원에서 인공지능 기술의 개발과 적용에 대한 법적 규제와 지침 등을 마련해야 하며 개인정보보호와 같은 사용자 보호에 대한 법적 책임과 권리를 강화할 뿐 아니라 교육적 대책도 필요하다“며 ”대화형 인공지능 서비스의 사용자는 이러한 위협에 대하여 인식하고, 언어 모델을 적절하게 사용하는 방법을 배워야 한다“고 밝혔다.

또 정부는 백서에서 많은 기업과 기관은 비용을 절감하고 유연성과 확장성을 향상하기 위해 클라우드 서비스로의 전환이 가속화되고 있지만 클라우드 서비스의 보안은 여전히 많은 기업이 걱정하는 문제라고 지적했다. 

일례로 화재 등 재난재해에 의한 위협을 꼽았다. 지난 2022년 10월 SK C&C 데이터센터 화재로 많은 국민이 이용하던 서비스인 카카오톡을 비롯한 멜론, 티스토리, 다음 등 카카오의 대다수 서비스가 마비됐었다는 것이다.

백서는 “대다수 국민이 사용하는 서비스이었기 때문에 금융·결제·교통 등의 서비스 중단으로 인해 많은 혼란을 일으켰으며 서비스 중단으로 인한 피해는 고스란히 사용자가 떠안게 됐다”고 밝혔다.

이에 정부는 네이버, 카카오 등 부가통신사업자도 기간통신사업자처럼 재난관리 기본 계획을 의무적으로 세우도록 했으며 데이터센터를 운영하는 기업뿐 아니라 이를 빌려 쓰는 카카오, 네이버 등 기업에게도 보호 조치 의무를 부과했다고 설명했다.

이밖에도 정부는 소프트웨어 취약점을 이용한 타깃형 공급망 공격, 기업정보 탈취 목적의 스피어피싱 공격 위협 등이 앞으로 주요 위협이 될 것이라고 전망했다.