이 기사는 2월 25일 오후 3시37분 '해외 주식 투자의 도우미' GAM(Global Asset Management)에 출고된 프리미엄 기사입니다. GAM에서 회원 가입을 하면 9000여 해외 종목의 프리미엄 기사를 보실 수 있습니다.

[서울=뉴스핌] 이홍규 기자 = 인공지능(AI)이 소프트웨어(SW) 개발부터 다른 IT 관련 서비스까지 기존 사업을 통째로 대체할 것이라는 공포가 미국 주식시장을 짓누르고 있지만 사이버보안 종합 플랫폼 기업에 한해서는 대체론에 선을 긋는 시각이 월가에서 힘을 얻고 있다.

AI가 코드를 분석하는 능력과 가동 중인 시스템을 실시간으로 방어하는 능력은 차원이 다르다는 것이 그 논거다. 실시간 방어에 필수적인 센서·통제권·탐지 정확도 3가지는 AI에 없다는 점이 거론된다. 이 세 조건을 경쟁우위력(해자)로 보유한 종합 플랫폼 기업을 수혜주로 부각하는 뉘앙스가 짙다.

◆한계점이 곧 우위

뱅크오브아메리카(BofA)에 따르면 AI 강점은 코드 배포 전 단계의 취약점 분석에 한정된다. 클로드는 컴포넌트 상호작용(SW 구성요소 간 데이터 교환)부터 비즈니스 로직 허점까지 추론 분석이 가능해 기존 특징 매칭 스캐너(기존에 알려진 취약점 패턴과 대조하는 방식)보다 탐지 정확도가 높지만 그 영향력은 '생산 전 코드 분석'이라는 세부 영역에 한정된다.

AI의 강점이 코드 분석에 머무는 이유는 런타임(SW 실제 가동되는 실행 환경) 보안 환경과의 구조적 간극 때문이다. 실제 가동 중인 시스템을 방어하려면 엔드포인트·신원 인증·네트워크·클라우드 등 복수 경로에서 신호를 동시에 수집·융합하는 센서 인프라가 전제돼야 한다. 현재 AI 도구에는 이 런타임 데이터를 실시간으로 수집할 센서(시스템에 설치되는 모니터링 소프트웨어) 자체가 갖춰져 있지 않다.

센서가 없으면 그다음 단계는 자연히 불가능해진다. 실행 중인 프로세스가 어떤 상태인지 들여다볼 수 없고, 의심 프로세스를 차단하거나 감염된 단말을 격리하는 등의 직접적인 개입 권한도 행사할 수 없다. 센서가 시스템 내부의 실시간 데이터를 수집하는 출발점인 만큼 이것이 빠지면 상황 파악부터 대응 실행까지 전 과정이 작동하지 않는다. 위협을 감지하더라도 대응 조치를 실행할 수단이 없는 셈이다.

AI가 센서와 통제권을 갖춘다고 해도 근본적인 문제가 남는다. AI 모델 자체의 탐지 정확도가 런타임 보안이 요구하는 수준에 미치지 못하기 때문이다. 런타임 보안은 미탐지율(위협을 놓치는 비율)을 99.99% 수준으로 억제해야 하지만, AI 모델은 질문 표현이 조금만 달라져도 결과가 바뀌고 작업 범위를 벗어나면 맥락을 놓친다. 한 건의 누락이 보안 사고로 직결되는 실시간 방어에서는 허용되기 어렵다.

◆크라우드와 팔로알토

이 3가지의 한계가 곧 종합 플랫폼 기업의 경쟁 방벽이 된다는 게 전문가들의 의견이다. 엔드포인트(네트워크에 연결된 개별 단말)부터 클라우드 워크로드(클라우드 환경에서 구동되는 애플리케이션·서비스)까지 아우르는 원격 측정 데이터 축적, 런타임 실시간 모니터링 인프라, 다차원 신호를 하나의 대응 체계로 엮는 재현 가능한 대응 체계를 보유하고 있다.

▶②편에서 계속됨

bernard0202@newspim.com