사이버 보안

사이버 보안이 탐지에서 AI 복원력으로 이동하고 있다

게시일 2026년 6월 18일

작성자

Jonathan Schramm

거의 모든 자산, 비즈니스 활동 또는 귀중한 데이터가 디지털로 기록되어 있기 때문에 이러한 데이터와 IT 시스템에 대한 지속적인 접근이 필수적입니다.

이것이 바로 랜섬웨어라는 갈취 전술이 노리는 대상입니다. 전자 기기나 네트워크에 침투하여 사용자를 데이터(보통 암호화를 통해)에서 차단하고, 접근을 복구하기 위한 복호화 키를 제공한다는 대가로 몸값을 요구합니다.

랜섬웨어는 급속히 성장하는 범죄 활동으로, 전 세계 피해액이 2031년까지 연간 2,650억 달러를 초과할 것으로 예상됩니다.

The issue is becoming critical, as modern ransomware campaigns now target not only individuals but also corporate networks, municipal systems, and critical infrastructure sectors such as healthcare, finance, and energy.

“2024년 의료 부문은 모든 산업 중 가장 높은 침해 비용을 기록했으며, 사건당 평균 1,093만 달러에 달했습니다. 이는 장기간 다운타임, HIPAA 관련 벌금, 보호된 건강 정보 복구 비용에 의해 발생했습니다.”

These incidents are more serious and involve larger sums being extorted, even though 88% of all ransomware incidents target small and medium-sized enterprises (SMEs).

“몸값을 지급한 조직은 평균 200만 달러를 지불했으며, 이는 2023년의 40만 달러에서 증가한 수치입니다. 즉각적인 비용 외에도, 랜섬웨어 공격 후 평균 조직 다운타임이 이제 3주를 초과하여 비즈니스 부문 전반에 걸친 운영 및 생산성 손실이 복합적으로 발생하고 있습니다.”

Ransomware methods have become increasingly sophisticated, gradually rendering older, traditional signature-based and purely discriminative detection approaches insufficient. Tracing funds has also become harder as today, the ransom is usually required to be paid in cryptocurrencies.

일반적으로 AI는 사이버 보안에 있어 문제이자 기회입니다. 피싱을 위한 더 정교한 위조물을 생성하고, 사회공학의 효율성을 향상시키며, 시스템 아키텍처에 새로운 취약점을 만들 수 있습니다.

출처: Crowdstrike

새로운 출판물은 생성 AI가 사이버 보안 위협을 완화하는 데 도움이 될 수 있다고 주장합니다. 특히 랜섬웨어 공격의 경우에 그러합니다.

It was written by a researcher at the University of Cincinnati in the Journal of Information Security and Applications¹, under the title “Rethinking ransomware defense in the age of generative AI”.

랜섬웨어는 어떻게 작동합니까?

랜섬웨어 101

Most ransomware will lock out data through encryption after a security breach, allowing the hacker to enter a device or a network. In some cases, it can even lock out the device’s user interface entirely, rather than encrypting individual files.

대부분의 랜섬웨어는 보안 침해 후 데이터를 암호화하여 차단하며, 해커가 기기나 네트워크에 침투하도록 합니다. 경우에 따라 개별 파일을 암호화하는 대신 장치의 사용자 인터페이스 전체를 차단하기도 합니다.

The ransom request is usually made with a demand for payment in cryptocurrency, with a strict time limit to get the data decrypted, after which they will be left stuck in that state forever.

몸값 요구는 보통 암호화폐로 지급을 요구하며, 데이터를 복호화하기 위한 엄격한 시간 제한이 있습니다. 이 기한이 지나면 데이터는 영원히 그 상태에 머무르게 됩니다.

In some cases labeled as double & triple extortion, data encryption is combined with threats to publicly leak stolen data, or even to attack your customers and partners if the ransom isn’t paid.

이중·삼중 갈취라고 불리는 경우에는 데이터 암호화와 함께 도난된 데이터를 공개적으로 유출하겠다는 위협, 혹은 몸값이 지급되지 않을 경우 고객 및 파트너를 공격하겠다는 위협이 결합됩니다.

This can be especially problematic for confidential data like business information, valuable IPs, patients’ medical information, etc. And paying for decryption, or achieving decryption by other means, does not remove the stolen data from the hacker’s computers, which means this threat persists even after decryption.

이는 비즈니스 정보, 귀중한 지적 재산권, 환자 의료 정보 등과 같은 기밀 데이터에 특히 문제가 됩니다. 복호화 비용을 지급하거나 다른 방법으로 복호화하더라도 해커의 컴퓨터에 도난된 데이터가 남아 있기 때문에 복호화 후에도 위협은 지속됩니다.

In general, Cybersecurity experts and law enforcement agencies advise against paying the ransom, as it does not guarantee the restoration of the data, and can often label the victim a “good” target for subsequent attacks.

일반적으로 사이버 보안 전문가와 법 집행 기관은 몸값을 지급하지 말 것을 권고합니다. 이는 데이터 복구를 보장하지 못하고, 피해자를 이후 공격의 ‘좋은’ 표적으로 만들 수 있기 때문입니다.

Losses from ransomware are not just for the eventual ransom, but also downtime and business disruption, reputation damage, costly recovery procedure, and additional security needed, etc.

“랜섬웨어 사건을 겪는 조직은 종종 고객, 투자자, 규제 기관으로부터 이해관계자 신뢰 상실에 직면합니다. 고객은 침해를 실사 부실로 인식하여 충성도가 감소하고 이탈이 증가합니다. 투자자는 기업의 거버넌스 성숙도와 위험 관리 태세를 의심하여 시장 가치 하락에 기여합니다.”

랜섬웨어 방지 방법

Beyond the generative AI methods proposed by this article, a few practices need to be put in place to reduce the risks of ransomware attacks and their severity.

첫 번째는 사이버 보안 모범 사례를 일반적으로 채택하고 IT 팀 및 사이버 보안 기술 교육에 충분한 자금을 지원하는 것입니다.

두 번째는 모든 소프트웨어를 최신 상태로 유지하고 패치를 적용하는 것으로, 이는 시스템 전체의 취약성을 증가시킬 수 있는 실패 지점을 방지합니다.

세 번째는 보안 접근과 인간 오류에 주의를 기울이고, 이를 방지하기 위한 교육을 제공하는 것입니다. 많은 랜섬웨어 공격이 사회공학을 통해 최소 한 명의 사용자를 설득해 해커에게 침입 경로를 열어줍니다.

Lastly, a serious policy for backup and data archiving can greatly reduce the impact of a ransomware attack by having almost up-to-date data to use for recovery.

생성 AI를 활용한 랜섬웨어 대응

Current approach to ransomware focuses on signature-based antivirus tools, static rule engines, or incorporates only partially traditional machine-learning and deep learning models.

“이러한 접근 방식은 라벨링된 데이터셋과 사전 정의된 공격 서명에 크게 의존하여, 제로데이 익스플로잇 및 코드를 지속적으로 변형해 다중 레이어 탐지 시스템을 우회하는 폴리모픽 악성코드에 취약합니다.”

Generative AI, the same type of AI used by systems like ChatGPT, can help alleviate these limitations. In particular, several types of generative AIs can be used:

대형 언어 모델(LLMs).
생성 적대 신경망(GANs).
변분 자동 인코더(VAEs).
디퓨전 모델.

각 GenAI 시스템이 할 수 있는 일

LLMs can assist IT specialists and ordinary users in analyzing large volumes of system logs, incident reports, and threat intelligence feeds to identify emerging attack narratives or generate automated response recommendations.

LLM은 IT 전문가와 일반 사용자가 대량의 시스템 로그, 사고 보고서, 위협 인텔리전스 피드를 분석하여 새로운 공격 시나리오를 식별하거나 자동화된 대응 권고안을 생성하도록 도울 수 있습니다.

GAN은 실제와 유사한 “가짜” 랜섬웨어 공격을 생성하여 실제 상황에 대비할 수 있게 합니다. 따라서 현실적인 랜섬웨어 변종을 합성해 탐지 알고리즘을 스트레스 테스트하고 재학습시킬 수 있습니다.

VAEs는 잠재 행동 표현을 학습하여 악성 활동과 정상 활동을 구분하는 데 도움을 줍니다.

GAN과 VAEs를 결합하면 합성 랜섬웨어 샘플과 정상 프로세스 데이터를 생성하여 사이버 보안 데이터셋의 데이터 부족 및 클래스 불균형 문제를 해결할 수 있습니다.

In practice, Trust and interpretability are critical for adoption in real-world security operations centers. So GenAi-based systems will have to not only identify threats but also justify their outputs in ways understandable to human analysts.

구현 및 추가 위험

Implementing these systems requires qualified expertise, as they are sensitive to data quality, computational latency, and retraining cost.

또한 이러한 시스템은 신중하게 구현하고 적절한 거버넌스 보호 장치를 갖추어야 한다는 점을 유념해야 합니다.

추가 위험으로는 모델 추출 공격, LLM 기반 보안 도구의 프롬프트 조작, 재학습 주기 동안 사용되는 텔레메트리의 적대적 중독 등이 있으며, 이 모두가 AI 지원 사이버 방어의 신뢰성을 약화시킬 수 있습니다.

The same technology that can help against ransomware attacks can also be weaponized to automate phishing campaigns, create polymorphic malware, or mimic legitimate system behavior to evade detection.

정책 권고

Use of Generative AI for cybersecurity needs to be incorporated in the broader framework of AI policies, both at the company/institution level and the national level.

여기에는 윤리적 감독 및 정책 정렬이 포함되며, AI 사용이 프라이버시, 보안 및 책임 기준을 준수하도록 보장합니다.

기술적인 측면에서는 복원력 계획, 복구 테스트, 백업 정책 및 시스템 중복성에 대한 주의가 필요합니다.

기존 프레임워크는 ISO/IEC 42001, NIST AI 위험 관리 프레임워크, EU AI 법규 준수 지침 등과 같이 GenAI를 랜섬웨어 및 광범위한 사이버 보안 노력에 구현하는 데 지침을 제공해야 합니다.

조직의 역량도 고려해야 하며, 사이버 보안 전문성을 보유한 조직 수준에서 생성 AI를 점진적으로 통합하는 것이 주요 제한 요인이 됩니다.

전반적으로 이상적인 전략은 지속적인 학습으로, 사고에서 얻은 조직 지식을 AI 재학습 파이프라인에 통합하는 것입니다.

출처: Journal of Information Security and Applications

투자자 시사점

As AI technology progresses alongside ever more prevalent digitalization, so do threats and tools to counter them.

전체적으로 랜섬웨어 방어는 엔드포인트 탐지를 넘어 탐지, 시뮬레이션, 거버넌스 및 인간이 참여하는 대응을 결합한 보다 광범위한 AI 기반 복원력 플랫폼으로 이동하고 있습니다.

This should favor an integrated, holistic cybersecurity system that can integrate such AI tools smoothly, and provide the AI models with the data and environment with which they can be used to their full potential.

AI 기반 사이버 보안에 투자하기

Crowdstrike

(CRWD )

CrowdStrike는 설립되었습니다 2012년에 클라우드 우선 접근 방식을 채택하고 B2B(기업 간) 시장에 강력히 집중하고 있습니다.

CrowdStrike의 초기 클라우드 전환은 이 유형의 데이터를 보호하는 데 앞서게 했으며, 기업들이 자체 보안 서버에서 클라우드 서버로 전환함에 따라 성장에 큰 경쟁력을 제공했습니다.

CrowdStrike가 제공하는 핵심 포인트는 이전에 서로 통합이 필요했던 매우 분산된 보안 솔루션들을 클라우드 환경에서 하나로 통합한다는 점입니다. 이 회사는 개별 장치부터 기업 전체 IT 인프라까지 모든 수준에서 보안을 제공할 수 있습니다.

출처: CrowdStrike

사이버 보안은 기업 운영에 깊이 통합되어야 하는 분야이므로, 사이버 보안 제공업체 선택은 장기적인 결정입니다.

이로 인해 CrowdStrike의 매출은 98%의 사용자 계정 순 유지율을 보이며 매우 예측 가능해졌습니다. 2026년 하반기에는 순 신규 연간 반복 매출(ARR)이 40% 성장할 것으로 예상됩니다.

이 회사는 현재 AI 에이전트 기반 사이버 보안 분야에서도 초기 선두주자이며, 과거 클라우드 기반 사이버 보안에서 선두를 달렸던 것처럼 이미 모든 시스템 수준에서 에이전트 방어를 통합하고 있습니다.

출처: CrowdStrike

핵심 요소 중 하나는 개인 및 비즈니스 작업에 사용되는 AI 에이전트에 대한 보안을 제공하는 것입니다. 생산성을 높이는 동시에 이러한 에이전트는 해커와 악성코드의 새로운 공격 벡터가 되며, CrowdStrike와 같은 시스템은 AI 에이전트 사용을 보호하기 위해 필수적으로 자리 잡게 될 것입니다.

전반적으로 이는 회사에 막대한 성장 기회를 제공하며, 특히 클라우드 사이버 보안 부문에서 지배적인 위치를 차지하고 있어 생성 AI 및 기타 AI 기술을 디지털 안전에 활용하기 위한 규모와 데이터 품질을 제공할 가능성이 높습니다.