- 정보 보안 10가지 대위협 추세 2024년도 예측
2024년 트렌드에서 크게 다뤄야 할 것은 생성AI에 수반되는 위험 요소 증가입니다. 생성AI는 혁신적인 기술인 반면, 보안 사고의 발생이 우려되어집니다. 항목 전체에서 다수를 차지하는 것은 무차별한 랜섬웨어 공격과 공급망의 취약성을 노린 공격, 피해를 방지하기 위한 취약성 관리 체제의 재검토 등 사이버 공격에 관한 것입니다. 또한, 인력의 유동화에 따른 정보 누설의 위험성과, 정보 보안 인력의 부족 등 인력 문제에 주목한 항목도 개재되어 있습니다.
- 정보 보안 기업별 2024년도 예측
리시큐리티
– AI(인공지능)의 무기화가 급속히 진행
– 상장기업을 대상으로 한 랜섬웨어 공격증가
– 에너지 (석유, 가스) 및 원자력 부문에 대한 사이버 공격 증가
– 디지털 정체성에 대한 사이버 공격이 급증하여 전례없는 대규모 데이터 피해로 이어짐
– 현대 사회가 정보 보안에 대해 적극적인 연구 방법을 도입할 필요성이 대두됨
아카마이 테크놀로지스
– AI에 의한 랜섬웨어와 데이터 피싱 공격 등장
– 하이브리드/ 멀티 클라우드가 더욱 더 보급됨
– 클라우드 형식의 인프라 구축과 서비스 이동에 따른 데이터 저장 장치 및 컴퓨터 사용 능력, 데이터 유출의 범위와 관련된 총 비용의 재정 압박
– 정보 보안이 사후 대응 방식에서 적극적인 접근 방식으로 변화함
트렌드 마이크로
– 생성AI를 악용한 인플루 오퍼레이션 증가
– 생성AI가 정치에 영향을 미침
– 취약성을 악용한 사이버 공격을 자동화하는 능력을 가진 웜(악성코드)이 사이버 공격의 주요 수단으로 대두
– ‘Kubernetes’ ‘Docker’ ‘Weave Scope’ 등에서 잘못 설정된 API를 악용한 사이버 공격이 클라우드 환경 내에서 급속적 확산을 일으킴
– 법인 조직이 클라우드 기생형 공격 (LOTC:Living Off The Cloud)의 대상이 됨
– 「지속적인 융합 및 전파」 (CI/CD) 를 통해 소프트웨어 공급망에 침입하여 법인 기업을 침해하는 사이버 공격이 증가
카스퍼스키
– AI 툴 사용에 따라, 감쪽같은 위조 동영상과 이미지를 생성하고, 사기 등 범죄 행위에 대한 사이버 위협이 확대됨
– 레드팀의 업무를 자동화 하는 등, LLM을 사용한 AI 어시스턴트 등장
– 무작위로 통합한 확률적 생성 AI와, 기존의 예측 가능하고 확정적인 결과를 내는 결정론적 기술의 교차 속에서 복잡한 취약성 발생
각 대기업들이 발표한 2024년의 위협 예측에 의하면, 생성AI는 2023년에 이어 2024년에도 화제의 중심이 될 전망입니다.
생성AI는 사이버 공격자에게 있어 좋은 무기입니다. 생성AI의 장점 뿐만 아니라, 위험성에 대해서도 대처할 필요가 있습니다.
- 생성AI의 활용 상황
생성AI를 「회사 전체에서 활용하고 있다」 가 1.3%, 「일부 부서에서 활용하고 있다」 가 8.6%로, 도합 약 10%의 기업이 생성AI를 활용 중인 것으로 답변했습니다.
또한, 20.8%는 「현재는 활용하고 있지 않지만, 향후 활용 의향 있다」라고 답변하여, 장래적으로 활용 의향이 있는 기업이 늘어날 전망이라는 것을 나타내고 있습니다.
한편, 3.2%의 기업은 「활용을 금지하고있다」 라고 답변했습니다. 근래에 등장한 생소한 기술이며, 활용 방법이 모호할 뿐만 아니라 정보 유출 등 보안 문제에 대해서 이해도가 낮기 때문에, 불안감을 갖고 있는 일부 기업이 존재하기 때문입니다.
활용도가 확대됨에 따라 이해도도 높아지고, 가이드 라인이 정비되면, 이러한 기업들도 활용을 검토해 나갈 가능성이 있을 것으로 전망됩니다.
- 최근 사이버 공격의 경향 사이버 공격용 생성AI 「Worm GPT」 출현
NTT데이터 그룹에 의하면, 정보 보안에 대한 최근 화제 중 하나로, 사이버 공격 프로그램의 코드 및 피싱 사이트/메일 문장을 생성AI에게 만들게 하는 경우가 있다는 것입니다.
Chat GPT와 같은 생성AI는 사이버 공격 기술을 안내하는 것과 같은 비윤리적인 질문에는 답변하지 않도록 조정되어 있습니다만, 사이버 공격자 자신이 비윤리적 요청에도 응답하는 독자적 생성AI 「Worm GPT」를 개발하여 판매 중이라고 합니다.
- 요약
이번에는 일본 보안 감사 협회(JNSA)가 발표한 정보 보안 10가지 대위협 추세의 2024년도 예측과, 각 보안 회사의 2024년도 예측에 대해 알려드렸습니다.
2024년의 추세에서 크게 다뤄야 할 것은, 생성AI에 수반되는 위험 요소 증가입니다. 생성AI는 혁신적인 기술인 반면, 중대한 보안 사고 발생 또한 우려됩니다. 각 보안 회사의 2024년도 예측에서도 마찬가지로, 생성AI가 공격 도구로 사용되는 위험에 대해 언급하고 있으며, 이미 실제로 공격 도구로 사용되고 있음을 알 수 있습니다. 향후 기술력이 급속도로 발전함에 따라, 큰 위협이 될 것으로 예상됩니다.
생성AI는 잘 활용하면 업무 효율을 향상시키는 편리한 도구이지만, 동시에 사이버 공격 기술도 향상시키기 때문에, 이 문제에 대응할 대책 마련 또한 AI화가 진행될 것으로 보여집니다. 하지만 결국에는 사람이 사기를 당하거나, 피해를 입게 되기 때문에, 직원에 대한 IT활용능력 교육이 중요하다는 것에는 변함이 없습니다.
#일본IT트렌드 #일본정보보안트렌드 #보안생성AI활용 #사이버공격트렌드