업계 사람들과 자주 하는 이야기가 있다. “업데이트할 30분을 내지 못해서 해킹을 당하고 결국 30일 동안 일을 못 한다”는 말이다. 농담처럼 들리지만 실제로 벌어지는 일이다. 한 글로벌 사이버 보안 통계에 따르면 랜섬웨어에 감염된 기업의 평균 업무 중단 기간은 24일에 달한다. 몸값 지불 여부와 상관없이 복구 비용으로 평균 150만 달러를 치른다. 업데이트를 미룬 대가다.
인공지능(AI) 시대에 업데이트를 미루는 건 해킹당하겠다는 선언과 다를 바 없다. 글로벌 보안 회사 맨디언트에 따르면 과거에는 소프트웨어 허점이 알려졌을 때 해커가 이를 실제 공격에 활용하기까지 평균 63일이 걸렸다. 보안 담당자가 패치를 적용할 시간이 충분했던 것이다. 그런데 2023년이 되자 이 기간은 단 5일로 단축됐다. 2026년 현재는 취약점이 공개되면 하루이틀 내에 글로벌 수준의 공격이 발생한다.
이런 변화를 이끄는 것은 AI이다. 공격자들은 AI를 활용하여 취약점 정보를 읽고 공격 코드를 불과 몇십 분 만에 자동으로 만들어 낸다. 과거에는 숙련된 해커가 수 주를 들여야 만들 수 있었던 공격 도구를 이제 AI로 쉽게 찍어낸다. 공격 코드가 만들어지면 공격자들은 수많은 서버를 빌려, 보안 업데이트가 적용되지 않은 전 세계 시스템을 수시간 만에 모두 찾아낸다. 이후에는 사람 손을 거칠 필요도 없이, 취약한 시스템을 향한 공격이 자동으로 쏟아진다.
그러나 우리 기업 현실은 어떠한가. 많은 조직에서 심각한 보안 업데이트마저도 ‘다음 정기 점검 때로’, ‘분기 패치 일정에 맞춰서’ 미뤄진다. 패치를 긴급 적용하느라 업무가 잠깐 멈추는 불편함은 눈에 보이지만 패치를 안 했을 때의 위험은 눈에 보이지 않는다. 위험이 눈에 보이지 않으니 패치를 서둘러야 한다는 말은 힘을 얻지 못한다. 하지만 이제 더 이상 이런 여유는 허용되지 않는다. 공격자의 시계는 분 단위로 돌아가는데, 방어자의 시계가 주 단위나 월 단위로 돌아가서는 안 된다.
심각한 취약점이 공개되면 패치 때문에 업무가 중단되더라도 받아들일 수 있어야 한다. 자발적으로 선택한 30분의 업무 중단은 해킹으로 인해 비자발적으로 발생하는 30일간의 업무 중단을 막아낼 수 있다. 전자는 비용이지만, 후자는 재앙이다. AI가 공격의 판도를 바꿨으니 우리도 방어의 속도를 바꿔야 한다. 업데이트를 위해 쓴 30분이 조직의 30일을 지켜낸다.
구동언 로그프레소 사업본부장
[한국일보]
