글로벌 클라우드 ‘빅3′로 꼽히는 AWS(아마존웹서비스), 구글, 마이크로소프트(MS)가 인공지능(AI) 기반 보안 솔루션 경쟁에 나서고 있다. 최근 챗GPT 등 ‘생성형 AI’가 해킹 도구로 악용돼 기업의 핵심 정보가 유출될 수 있는 상황에서, 클라우드 서비스의 안정성을 강조하는 행보로 풀이된다. AI 기술을 악용해 공격하는 해커와 AI를 활용해 방어하는 기업간의 치열한 공방전이 예상된다.
AWS코리아는 15일 서울 강남 센터필드빌딩 오피스에서 ‘AWS의 보안 혁신 및 보안 트렌드’ 기자간담회를 개최하고 새로운 보안 서비스를 출시했다고 밝혔다. AWS는 미국에서 13~14일(현지시각)에 개최된 ‘AWS 리인포스 2023(AWS re:Inforce 2023)’에서 여러 보안 서비스를 공개했다.
이날 온라인을 통해 기자간담회에 참석한 필 로드리게스 AWS 아시아·태평양 지역(이하 아태지역) 보안 솔루션즈 아키텍트 총괄은 “최근 고객사들의 가장 많은 요구가 보안 능력 강화로 이러한 수요에 대응하기 위해 보안 서비스를 출시하게 됐다”고 말했다.
클라우드 환경에는 내부자 위협은 물론 정보 유출과 데이터 손실, 피싱 등 다양한 위험이 존재한다. 특히 생성형 AI의 등장으로 해킹 기술의 진입장벽이 낮아지면서 침해 사고 피해 규모가 기하급수적으로 늘어날 것으로 전망된다.
실제 지난 3월 삼성전자 디바이스솔루션(DS) 부문에서 챗GPT를 통한 기밀 유출 사례가 발생하자 생성형 AI 사용을 금지했다. 애플도 챗GPT 사용을 막았고 골드만삭스, 씨티뱅크 등 금융권도 생성형 AI 금지령을 내렸다.
AWS가 이러한 위협들에 대응할 수 있도록 새롭게 공개한 보안 서비스는 ▲아마존 코드구루 보안 ▲사이버 보험 파트너 프로그램▲글로벌 파트너 보안 이니셔티브▲아마존 베리파이드 퍼미션이다.
아마존 코드구루 보안은 AI 머신러닝(기계학습)을 사용해 고객이 코드 취약성을 식별하고 문제 해결 지침을 제공하는 애플리케이션 보안 테스트 도구다.
사이버 보험 파트너는 중소기업이 해당 프로그램에 가입하면 보안 평가 솔루션과 저렴한 사이버 보험 정책을 쉽게 찾을 수 있도록 지원한다. 글로벌 파트너 보안 이니셔티브는 시스템 통합(SI) 파트너에게 생성형 AI 기반 보안 데이터를 제공한다.
아마존 베리파이드 퍼미션은 애플리케이션 구축과 확장을 위한 권한 관리 인증 서비스다. 정책 저장소의 권한을 중앙 집중화하고 개발자가 해당 권한을 사용해 애플리케이션 내에서 사용자 작업을 승인할 수 있도록 지원한다.
로드리게스 총괄은 “고객사들의 보안 능력 강화를 위해 클라우드 보안에 대한 여러 교육 프로그램도 진행하고 있다”며 “아태지역에서만 현재까지 600만명, 한국에서 20만명을 대상으로 교육을 마쳤다”고 밝혔다.
AWS에 앞서 구글은 지난달 개최한 클라우드 시큐리티 서밋 행사에서 AI를 활용한 신규 클라우드 보안 서비스 ▲어슈어드 오픈소스 소프트웨어(OSS) ▲비욘드코프 엔터프라이즈 에센셜 ▲시큐리티 파운데이션 3종을 공개했다.
OSS는 클라우드 환경에서 오픈소스에 대한 검사, 취약점 테스트, 분석 프로세스를 자동으로 해줘 소프트웨어를 안정적으로 구축하고 활용할 수 있게 해준다. 비욘드코프 엔터프라이즈 에센셜은 클라우드 앱의 인지 접근 통제, 위협 및 데이터 보호 역량 제공, 데이터 손실 방지, 크롬에서 악성코드 및 피싱에 대한 보호 기능을 지원한다.
기업 역량을 클라우드와 AI에 올인한 MS는 지난 3월 ‘시큐리티 코파일럿’을 공개한 바 있다. 시큐리티 코파일럿은 오픈AI의 언어모델 ‘GPT4′를 기반으로 한 AI 챗봇으로, 애저 클라우드 기반에서 활용할 수 있도록 제공한다.
일례로 사용자가 시스템 또는 데이터 보안과 관련한 명령어를 ‘우리 회사의 모든 인시던트를 알려줘’와 같이 자연어로 입력하면 이를 바로 처리한다. 취약점 요약을 하거나 파일·URL을 첨부하면 관련 정보를 분석한다.
시큐리티 코파일럿은 데이터나 컴퓨터에 어떤 일이 일어나고 있는지를 자동 분석·파악해 사용자에게 알리는 역할도 한다. 사이버 위협의 조짐이 보이면 이를 바로 사용자에게 알리고 효율적인 해결법을 제시한다.