[아이티데일리] 2023년은 팬데믹 극복을 위한 확장 재정과 우크라이나-러시아 전쟁으로 인한 인플레이션 등 글로벌 악재 속에서도 전 세계가 필사적으로 재정 및 통화 정책을 펼치며 굳건히 버텨낸 한해로 평가받는다. 2024년에도 여전한 전쟁과 고물가 및 고금리, 그리고 그로 인한 투자 위축까지 세계 경제는 어려운 환경에 놓여 있다. 하지만 한편으로 미국이 물가 안정 추세로 돌아서고 있고 올해 중 금리도 인하하며 연착륙할 것이라는 전망이 나오는 만큼 최악의 한해는 아닐 것이라는 희망 또한 갖게 한다.

다만 올해 국내 경제는 다소 녹록지 않을 것이라는 게 다수 전문가들의 평가다. 세계 평균보다 낮은 1% 후반대의 경제성장률이 예상되는 등 향후 몇 년간 저성장이 예상되는 상황이기 때문이다. 이에 국내 IT업계 역시 투자 위축 등을 걱정하며 바짝 긴장하는 모습을 보이고 있다. 이에 2024년에 국내 IT산업도 경기 불황을 극복하지 못한 채 내리막을 걷게 될지, 아니면 챗GPT(ChatGPT)가 촉발한 ‘생성형 인공지능(Generative AI)’이 IT 르네상스 시대를 견인하며 새로운 성장의 원년으로 기록될지 귀추가 주목되는 상황이다. 걱정 반, 기대 반으로 밝아오는 2024년을 맞아 IT 업계를 △소프트웨어 △클라우드 △정보보안 등 3가지 분야로 나눠 조심스럽게 전망해봤다.

[소프트웨어]

전 영역에 ‘자동화’ 넘어 ‘생성형 AI’ 적용 바람

박재현 기자 pajh0615z@itdaily.kr, 김호준 기자 hojun@itdaily.kr

데이터베이스, 벡터 DB 및 생성형 AI로 데이터 유형 처리

지난해 데이터베이스(DB) 분야에서는 본격적으로 데이터 레이크하우스가 구축되기 시작했다. 데이터 레이크하우스는 DB 중심의 데이터 웨어하우스(DW)와 스토리지·하둡 중심의 데이터 레이크(DL)를 긴밀하게 결합해 다양한 데이터 분석 및 AI 학습에 활용하기 위한 목적으로 구축하는 데이터 분석을 위한 저장소다. DW를 거쳐 DL로 진화해 온 데이터 분석 아키텍처는 지난해부터 점점 융합되는 흐름이 두드러졌다. DW와 DL을 개별적으로 운영하는 것에서 탈피해 두 시스템을 연결해 쓰는 데이터 레이크하우스를 활발하게 구축하기 시작했다.

이를 둘러싼 업계 행보도 빨라지기 시작했다. DB업계 대표 주자인 오라클은 ‘오라클 엑사데이터(Exadata)’와 ‘ADW’를 중심으로 대규모 레이크하우스 구축을 지원하고 있다. 또한 MySQL 중심의 레이크하우스로서 ‘히트웨이브(Heatwave)’도 제공하며 고객이 원하는 시스템을 선택할 수 있도록 지원하고 있다. 이 외에 데이터브릭스, 스노우플레이크, 클라우데라 등 기업들도 빠르게 국내 시장에서 세를 확대하고 있다.

올해 DB 분야에서는 벡터 DB와 AI 기술 접목에 따른 다양한 데이터 유형 처리가 가능해질 것으로 예상된다.

먼저 벡터 DB는 기업이 보유한 지식 또는 문서를 벡터 타입으로 임베딩해 특정 질문과 관련된 가장 유사도가 높은 지식 또는 문서를 맥락적으로 검색하고 되돌려주는 역할을 수행하는 DB다. 이를 위해서는 먼저 지식과 문서 등의 콘텐츠를 벡터 타입으로 변환하는 기능, 사용자의 질문에 맥락적으로 가장 유사한 벡터 정보를 검색해 주는 벡터 검색 기능이 제공돼야 한다. 현재 벡터 DB는 대부분 오픈소스 DB가 주도하고 있다. 하지만 기존의 상용DB 업체들이 앞다투어 벡터 타입과 벡터 검색 기능을 제공하고 있다.

벡터 DB가 주요 트렌드로 떠오를 것으로 예상되는 이유로는 생성형 AI 환각 현상을 해소할 수 있는 RAG 핵심 기술이기 때문이다.

이에 대해 한국오라클 장성우 전무는 “생성형 AI가 발전하고 환각 현상(hallucination)이 없는 생성형 콘텐츠의 중요성이 커지면서 해결 방안으로 ‘RAG(Retrieval Augmented Generation)’가 각광받고 있다. 이 RAG를 지원하기 위해서는 벡터 DB가 반드시 필요하다”면서 “향후 벡터 DB 내 벡터 데이터의 규모가 커질 시 필연적으로 성능 이슈가 발생할 수 있다. 이를 기존 상용 DB들이 벡터 타입을 지원하는 형태로 발전해 상용 DB의 성능·안정성 기반 위에서 새로운 벡터 데이터의 처리를 지원하는 방향으로 지원하려고 하기에 내년에는 RAG를 지원하기 위한 벡터 DB의 효과적인 구축 방안이 DB 업계의 가장 중요한 화두가 될 것으로 예상된다”고 설명했다.

또 다른 DB 업계의 주요 트렌드로는 AI 기술 접목이 꼽힌다. EDB 관계자는 “현재까지 출시된 제품들을 살펴보면, 다양하고 많은 데이터를 처리하기 위해 AI 기능을 통합하는 추세가 확연히 나타나고 있다. EDB도 2024년 출시를 목표로 하는 제품에서는 ‘포스트그레스 생성형 데이터와 AI 플랫폼’의 방향을 제시하고 있다”고 설명했다.

EDB 측에 따르면 현재까지 데이터의 저장 형태, 형식, 처리 방식에 따라 데이터 레이크, 데이터 웨어하우스, 비정형/정형 데이터, OLTP/OLAP 등으로 구분됐다. 2024년에는 이러한 구분이 더 이상 필요하지 않을 것으로 예상된다. AI 기술을 활용해 데이터의 특성에 상관없이 다양한 데이터 유형을 효과적으로 처리하는 새로운 제품이 등장할 것으로 전망된다.

EDB 측 관계자는 “기업들이 DB 제품을 선택할 때 AI 기술이 얼마나 성숙하게 통합돼 있는지가 중요한 기준이 될 것이다. 새로운 제품이 얼마나 다양한 데이터에 대해 적응하고, AI를 통해 어떻게 혁신적인 가치를 창출하는지가 제품 선택의 핵심이 될 것으로 예상된다”면서 “AI 기술은 단일 제품으로 다양한 데이터를 처리하는 데 필요한 지능적인 기능을 제공할 수 있으며, 자동화된 운영 및 장애 예측 기능을 통해 고가용성을 유지하고 업무 중단을 최소화할 수 있다. 사용자는 이러한 AI 기능을 통해 DB 시스템의 성능을 최적화하고 유연성을 확보할 수 있게 된다. 이에 따라 DB 업계에서는 AI 기술의 발전이 더욱 강조될 것으로 보인다”고 설명했다.

[인터뷰] “중요 DB 클라우드화에 따라 데이터 관리 플랫폼 핵심될 것”

한국오라클 장성우 전무

DB 분야에서 중요 DB의 클라우드 전환이 본격화되고 있다. 중요 DB는 기업의 핵심 데이터를 관리하기 때문에 HA와 DR을 함께 구축해 운영하는 시스템을 의미한다. 이미 클라우드로의 전환이 많이 진행됐지만 온프레미스에서 HA/DR로 운영되던 중요 DB시스템들은 성능 및 안정성 보장의 이슈 때문에 클라우드 전환이 아주 미미했었다. 하지만 최근에 클라우드의 성능과 안정성이 높아지고 있어 비용 및 시스템 효율화를 위해 중요 DB 시스템이 클라우드 상에서 HA/DR을 구성하는 형태로 빠르게 전환되고 있다. 오라클은 온프레미스에서 오라클 DB, RAC, ADG 등을 활용해 구성되는 MAA를 오라클 클라우드 인프라스트럭처(OCI) 상에서도 안정적으로 지원한다.

중·장기적인 관점에서는 데이터 관리 플랫폼의 중요성이 더욱 커질 것으로 예상된다. 기존 분석 업무에서 ML 기반의 분석형 예측, 생성형 AI를 활용한 다양한 정보의 생성 및 에이전트 서비스의 활성화 등 기업 분석 업무 시스템의 폭발적인 변화 속에서 이 과정에서 수집·저장·분석·생성되는 데이터를 효과적으로 관리할 수 있는 플랫폼의 중요성이 더욱 커질 것이다. 관리해야 할 데이터의 규모가 너무 크기 때문에 데이터 관리 플랫폼은 필연적으로 클라우드를 중심으로 구축될 것이다.

또한 이러한 데이터 관리는 하나의 지역이나 국가로 한정되지는 않을 것이다. 글로벌 배포를 위한 분산 DB로의 발전이 향후의 주요 DB 기술로 여겨지는 이유다. 오라클은 ‘23c’에서 글로벌 분산 DB(Global Distributed Database)를 구축할 수 있는 다양한 기반 기술을 지원하고 있다.

로우코드·노코드, 업종 및 업무 특화 앱 기반 기술 활용 예상

지난해는 로우코드·노코드 분야에서 실제 활용 사례와 기술 평가가 이뤄지며 시장성과 가능성이 검증됐던 해였다. 특히 국내 IT 사업에서 시스템 통합(SI) 기업들의 낮은 수익률에 따른 품질 문제를 로우코드·노코드를 통해 해결하고자 했던 시도들도 있었다.

아울러 생성형 AI가 등장함에 따라 로우코드·노코드 벤더들에게는 위기와 기회가 동시에 찾아왔다. 이에 대해 퀸텟시스템즈 관계자는 “생성형 AI가 프로그램 소스를 자동으로 생성할 수 있다는 것은 로우코드·노코드 벤더들에게 분명한 위기로 받아들여졌다. 하지만 실제로 고품질의 애플리케이션을 만들기 위해서는 로우코드·노코드와 생성형 AI를 결합하는 것이 유리하다는 결론이 도출돼 이 같은 방향으로 R&D가 진행되고 있다”고 설명했다.

2024년에는 로우코드·노코드가 업종 특화 및 업무 애플리케이션의 기반 기술로 활용될 것으로 전망된다. 특히 API 및 자바 등과 같은 다양한 기술과 통합·표준화되지 않는 현업 요구사항을 충족시키는 환경을 제공할 수 있기 때문이다.

먼저 로우코드·노코드는 분석·설계 생산성 확대에 초점을 맞춘 기술로 발전할 것으로 예상된다. 2024년에는 설계에 투입되는 노력을 최소화하고 자동화할 수 있는 기술에 투자가 확대될 것이며, 특히 생성형 AI 기술과의 접목으로 개발 및 분석·설계의 생산성을 크게 높일 수 있을 것으로 기대된다.

아울러 서비스와 API가 통합될 것이며 클라우드 기반 패키지 애플리케이션으로 글로벌 진출을 위한 기반 기술로 활용될 것으로 전망된다. 이에 대해 퀸텟시스템즈 관계자는 “로우코드·노코드는 다양한 외부 서비스 및 API와의 통합을 지원할 것으로 예상되며, 기업들은 다양한 기능과 데이터를 활용해 고성능의 애플리케이션을 구축할 수 있을 것이다. 특히 클라우드 기반의 로우코드·노코드가 내장된 패키지 애플리케이션도 속속 시장에서 공개될 것이며 국내 시장뿐만 아니라 해외 진출을 위한 기술 기반으로 활용될 것으로 예상된다”고 설명했다.

이어 그는 “코로나19 이후 높은 개발자 임금과 이직률 상승으로 SW 품질이 하락하고 있는 추세다. 로우코드·노코드 기술은 개발자 종속성, 형상관리, 재사용성, 확장성, 연속성 제공 등 측면에서 장점이 있다. 로우코드·노코드 기술을 통해 기업들은 지속 가능한 성장을 위한 구조적 변화를 추구할 수 있다”고 덧붙였다.

국내 시장 전망은 장밋빛일 것으로 분석된다. 코로나19 당시 기업들은 디지털화를 위해 많은 투자가 있었으나 2023년에는 경기 침체와 경제 불확실성으로 IT 투자가 소극적이었다. 2024년에는 한 차례 경기 불황을 경험한 기업들은 다시금 공격적인 IT 투자를 통해 불황을 타개하고자 할 것으로 보인다.

한 SW기업 관계자는 “SW 업계에서는 개발 인력 부족 현상이 심화될 것으로 보인다. 이에 따라 인력리스크를 최소화하고자 로우코드·노코드를 적극 도입 검토할 것이다. 특히 생성형AI와 융합된 로우코드·노코드 기술은 기업들에게 매력적인 기술로 다가갈 것”이라고 내다봤다.

한편, 중·장기적인 측면에서는 생성형 AI와 클라우드 혁신 서비스가 접목되면서 생산성과 확장성을 높이게 됨에 따라, 개발보다는 비즈니스에만 집중할 수 있는 환경이 만들어질 것으로 예상된다. 이에 따라 로우코드·노코드 기업들은 글로벌 진출, 해외 오프쇼링(해외 비상주) 개발, 분석/설계 작업, 업무 전문가 양성 등에 집중하는 전략을 채택할 것으로 보인다.

SW품질관리·테스팅, AI 제품 및 알고리즘 품질 인증 중요성 확대

올해 소프트웨어(SW)품질관리·테스팅 분야는 AI 제품 및 알고리즘을 테스트하는 노력이 확대될 것으로 예상된다. 특히 이에 따라 AI의 핵심인 데이터 품질 인증에 대한 중요성도 크게 늘어날 것으로 보인다.

이에 대해 와이즈스톤 이영준 ICT시험인증연구소장은 “SW의 영역은 점차 넓어지고 있다. AI도 SW의 일부분으로 바라볼 수 있다. 이러한 측면에서 AI도 SW이기에 품질을 검증하고 관리하며 높일 수 있는 방법을 모색해야 한다”면서 “현재 정부에서는 국제 표준 못지않게 AI와 관련해 테스트 가이드, 품질 가이드, 플러스 인증 등 다양한 표준을 발전시키고 있다. 실제 ISO/IEC 25059와 같은 국제 표준은 AI에 대한 품질이나 특성을 나열하고 있는데, SW 품질 특성, 품질 평가를 기반으로 나오고 있다. 올해에는 정부, 민간에서 AI 제품 및 알고리즘의 품질을 테스트하려는 새로운 시도들이 크게 늘 것으로 전망된다”고 설명했다.

특히 AI 제품 및 알고리즘의 품질을 좌지우지하는 데이터에 대한 품질 인증에 대한 중요성도 덩달아 커질 것으로 예상된다. 이영준 소장은 “현재 EU는 AI 규제법을 신설했다. 핵심은 신뢰성, 편향성, 안정성이다. 고위험 AI 제품에 대해 반드시 인증을 받아야만 출시할 수 있도록 강제화한 것이다. AI의 신뢰성과 편향성, 안정성을 결정짓는 핵심 요소는 결국 데이터다. ‘쓰레기가 입력되면 쓰레기가 나온다’는 말과 같이 좋은 고품질의 데이터가 있어야 AI 제품이나 알고리즘의 품질도 좋아질 것이다. 이러한 흐름에 따라 데이터 품질을 인증하는 작업이 상당히 중요해질 것”이라고 말했다.

현재 데이터품질인증(DQ인증)은 고품질 데이터의 유통 및 거래 활성화를 위해 과학기술정보통신부가 만든 인증제도다. 과학기술정보통신부가 지정한 인증기관에서 인증을 받을 수 있고 현재 와이즈스톤, 한국정보통신기술협회, 씨에이에스 등 3곳이 지정돼 인증을 부여하고 있다. 최근에는 1호 인증이 나왔다. 한국기계산업진흥회가 와이즈스톤을 통해 A등급에 해당하는 DQ인증을 취득했다. 이에 대해 이영준 소장은 “한국기계산업진흥회의 경우 우리 시험인증연구소를 통해 데이터 품질시험을 이용했었다. 그렇기에 데이터 특성과 환경을 이미 알고 있었고 빠르게 A 등급 DQ 인증을 획득할 수 있었다”고 설명했다.

특히 AI의 중요성이 확대됨에 따라 DQ 인증 내 AI 학습용 데이터에 대한 인증도 새롭게 신설된다.

이 외에도 SW품질관리·테스트에 AI가 접목돼 자동화될 것으로 전망된다. 이영준 소장은 “SW 테스트 분야의 발전 방향은 자동화로 귀결된다. 더 이상 점점 인력을 통해 테스트하는 것이 아닌 자동화된 SW로 테스트하는 방식으로 바뀔 것이다. 그 핵심에는 AI가 접목된 테스트 기술이 있을 것이다. 국내에서는 인력에 의해 테스트하지만, 미국과 일본에서는 AI로 SW 품질을 자동으로 테스트하는 비중이 서서히 늘어나기 시작했다”고 말했다.

이어 그는 “2024년 와이즈스톤은 DQ인증, KOLAS 인증 등 기존 품질·테스트 사업을 공고히하면서 테스트 자동화 솔루션인 ‘에그플랜트(Eggplant)’를 고도화하고 고객을 확보하는 데 집중할 예정”이라고 덧붙였다.

데이터 통합·관리, 데이터 패브릭 및 LLM 활용 전망

2023년은 국내 데이터 통합·관리 업계에 데이터 패브릭(Data Fabric)이라는 개념이 소개되기 시작한 해였다. 데이터 패브릭은 데이터 거버넌스를 기반으로 데이터 활용성을 제고하고 비즈니스 가치를 창출할 수 있는 데이터 관리 플랫폼의 새로운 아키텍처다. 원리는 원천 DB에 있는 데이터들을 추상화해 가상화 레이어에 보관하는 것이다. 일반적으로 기업 및 조직이 보유한 다양한 비정형/반정형/정형 데이터를 통합해 통일된 접근법 및 공유할 수 있는 환경을 구축한다. 목적과 사용처에 따라 실시간으로 데이터를 찾고 조직화하거나 재구성하는 등이 가능하다.

이에 대해 데이터스트림즈 김현철 제품사업본부장은 “지난해 가트너에서는 2023년 데이터 분석 10대 트렌드에 데이터 패브릭을 포함시켰다. 성장하고 있는 기술인 만큼 전 세계 패브릭 시장 규모는 꾸준히 증가하고 있다”면서 “2023년까지는 데이터 패브릭을 위해 데이터 거버넌스 기반의 메타데이터 표준화 작업이 이뤄지는 시기였다. 최근까지도 고객의 요구사항도 이 수준에 머물러 있다”고 설명했다.

2023년까지는 데이터 패브릭이 국내에 소개되고 몇몇 기업에서만 관심을 갖는 정도였지만, 2024년부터는 본격적으로 데이터 패브릭이 본격적으로 국내에 확대될 것으로 예상된다. 현재 마이크로소프트(MS), 스노우플레이크, 데이터브릭스 등이 데이터 패브릭 기술과 시장에 적극 참여하고 있다. 국내 기업으로는 데이터스트림즈, 엔코아 등이 있다. 이 기업들은 2024년부터 데이터 패브릭 시장이 본격적으로 확대될 것을 예측하고 협업 관계를 구축하기 시작했다.

이와 같이 데이터 패브릭에 대한 관심이 늘어갈 것으로 예상됨에 따라, 국내 기업들의 머신러닝(ML)옵스, 셀프-BI(Self-BI) 등 도구를 통해 다양한 데이터를 활용하고자 하는 수요도 늘어날 것으로 보인다. 또한 데이터 품질 확보를 위한 데이터 거버넌스 시장이 크게 증가할 것으로 예상되며 데이터 검색을 위한 비즈니스 메타 및 카탈로그 시장도 성장할 것으로 분석된다.

한편으로는 데이터 패브릭을 위한 메타데이터 표준화 작업에 초거대언어모델(LLM)이 적용될 것으로 보인다. 데이터 패브릭은 가상화된 레이어에 보관된 데이터를 호출하기 위해서 메타데이터를 표준화하는 작업이 선행돼야 한다. 이 과정에서 LLM으로 비정형 데이터에서 메타 정보를 추출하려는 시도가 이뤄지고 있다.

데이터스트림즈 천승태 기술연구소장은 “많은 기업에서는 오랜 기간 축적한 비정형 데이터를 활용하고자 하지만 많은 어려움을 마주하고 있다. 이에 따라 데이터스트림즈는 LLM을 활용해 비정형 데이터에서 메타 정보를 추출할 수 있도록 연구를 진행 중이다. 비정형 데이터의 활용성을 높이고 2차 데이터를 생성하는 연구인 셈이다. 이것들이 데이터 패브릭을 활성화할 수 있을 것으로 본다”면서 “현재 특정 사전 학습된 소형대규모언어모델(sLLM)을 파인튜닝해 학습하고 있다. 이 과정에서 학습된 모델을 가져와 추가로 학습을 시키는 것이기 때문에 기존 학습된 데이터가 흐트러질 수 있다. 이를 피해서 학습하는 것이 상당히 어려운 작업”이라고 설명했다.

이어 그는 “실제로 한 증권사에서 PoC를 해달라는 요청을 받기도 했을 정도로 현업에서 메타 정보를 추출하고자 하는 수요가 있다. 현재 환각효과는 5% 정도인 것으로 나타나며 꾸준히 줄일 예정이다. 메타 정보를 위한 것이니 정확도가 꼭 100%일 필요는 없지만, 꾸준히 높여가고 있다”고 부연했다.

UI/UX, 생성형 AI 결합 및 개발자 경험 강화 시도 증가

지난해 사용자 인터페이스 및 사용자 경험(UI/UX) 분야에서는 GPT 3.5 기반 챗봇 서비스인 챗 GPT(Chat GPT)가 공개된 이후 일반인들이 AI를 본격적으로 체험한 해였다. 타 분야와 마찬가지로 UI/UX 분야에서도 기존 UI 개발도구에 AI 기술을 융합하기 위한 시도가 본격적으로 이뤄졌다.

2024년에는 지난해에 이어 생성형 AI 기술을 UI/UX 분야에 적용하기 위한 시도가 꾸준히 진행될 것으로 예상된다. 이에 대해 인스웨이브시스템즈 관계자는 “생성형 AI 기술을 UI/UX 분야에 접목하려는 시도는 급변하는 시장 요구에 대응하고, 정보시스템 개발 비용과 기간을 줄여 신속하고 경제적인 대응을 하기 위함이다”라고 설명했다.

이어 그는 “아울러 SW 제품 및 서비스를 개발하고 제공하기 위해 개발자가 사용하는 도구, 플랫폼, 프로세스 및 사람 간의 모든 상호작용을 의미하는 ‘개발자 경험(Developer eXperience, DevX)’을 중요한 요소로 인지하고, 개발자 경험을 강화하기 위한 다양한 시도도 진행될 것으로 예상된다”고 덧붙였다.

생성형 AI 결합과 개발자을 경험 강화하기 위한 시도가 진행될 것으로 예상되는 이유로는 기업/기관의 디지털 전환 가속화와 기존 UI 개발의 한계에 있다. 디지털 전환 가속화로 인해 기존에는 인력과 시간이 많이 소요됐던 UI 코딩(개발) 작업의 생산성을 높일 수 있어야 디지털 전환을 성공할 수 있다는 인식이 확대됐다. 지금까지 UI 개발 한계로는 △UI 개발 시 복잡하고 많은 시간이 소요 △일관된 UI 개발의 어려움 △수동 작업에 의한 높은 오류 발생 가능성 등이 있었다. 이러한 한계를 생성형 AI 기술을 활용하는 것과 개발자 경험을 강화함으로써 해결할 수 있다는 것이다.

2024년 국내 UI/UX 시장의 경우 경기 침체로 일부 어려운 산업 분야는 있지만 금융, 공공 등의 분야에서는 디지털 전환 가속화에 더욱 활성화될 것으로 예상된다. 인스웨이브시스템즈 측 관계자는 “중·장기적인 관점에서 UI/UX 시장은 생성형 AI와 같은 혁신적인 기술을 얼마나 빠르게 융합할 수 있는지가 생존에 중요한 요건이 될 것”이라면서 “2025년 IE 종료 등에 따라 웹 표준 기술 자체가 생존 전략이던 시기는 끝나고 웹, 모바일, 웨어러블 디바이스, 앱 개발 등 모든 개발 활동을 통합할 수 있는 ‘다중경험 개발 플랫폼(MXDP, Multiexperience Development Platforms)’을 보유한 기업과 AI 기술을 내재화한 기업이 UI/UX 시장을 주도할 것으로 예상된다”고 내다봤다.

전자문서, 종이문서 사용량 감축으로 시장 확대 기대

전자문서 시장은 내년에도 지속 확대될 것으로 예상된다. 정부는 디지털플랫폼정부 구현에 나서고 있다. 이에 따라 공공기관을 중심으로 디지털 전환에 대한 중요성이 높아졌다. 특히 공공기관에서는 디지털 기반 행정 체계로의 전환과 종이문서 사용량 50% 감축을 목표로 삼고 디지털 전환에 속도를 내고 있다. 민간 기업 역시 페이퍼리스를 통한 탄소 중립 실천과 ESG 경영을 위한 디지털 전환에 박차를 가하고 있다.

전자문서 시장의 긍정적인 전망은 실제 솔루션 기업의 프로젝트 수주 사례에서 잘 나타나 있다. 대표적인 전자문서 기업인 포시에스는 디지털 전환 흐름 속에서 성과를 만들고 있다. 포시에스 관계자는 “지난해 주력 솔루션 ‘오즈 이폼(OZ e-Form)’과 ‘오즈 리포트(OZ Report)’를 기반으로 라이나생명, 현대해상, NH농협은행 등 금융권의 주요 프로젝트를 수주했다. 또한 관세청, 기획재정부, 환경부, 경기도교육청 등 공공 부문에서도 다수의 프로젝트를 수주하는 데 성공했다”고 말했다.

이어 그는 “내년에는 금융권 비대면 채널 다양화에 대응하고자 디지털 폼 기술 개발에 집중할 계획이다. 은행, 증권사, 보험사 등 금융의 디지털 전환이 한 단계 더 진화하는 데 포시에스의 디지털 폼 기술이 주요한 역할을 할 것”이라며 “오즈 이폼과 오즈 리포트를 업그레이드한 신규 9.0 버전을 내년에 출시해 비대면 환경에 더욱 최적화된 사용자 경험을 제공하겠다”고 덧붙였다.

아울러 포시에스는 클라우드 기반 전자계약 서비스 ‘이폼사인(eformsign)’의 비즈니스를 활성화하고, 베트남, 대만, 캄보디아 등을 중심으로 현지 파트너사를 통한 영업을 확대해 나갈 계획이다.

생성형 AI, 멀티모달로 나아가며 시장 선점 경쟁 본격화

2023년 IT 산업계의 화두는 단연 ‘생성형 AI’였다. 2022년 챗GPT(ChatGPT)를 출시한 오픈AI(OpenAI)를 비롯해 구글, 메타 등 글로벌 기업에서 네이버클라우드, KT, LG 등 국내 기업까지 AI 모델을 출시하며 시장을 선점하기 위한 경쟁에 나섰다.

2024년에는 기업들이 AI 모델을 활용해 본격적으로 비즈니스에 나설 것으로 전망된다. 포티투마루 김동환 대표는 “지난해는 생성형 AI를 비즈니스에 적용할 때 효과가 있는지 영업이익률(ROI)은 괜찮은지 탐색하는 시기였다. 이를 위해 기술검증(PoC)이 수 차례 이뤄졌다”며 “이제 기업에서도 LLM에 이해도가 높아졌고 PoC 역시 마무리 단계에 이르렀다. 올해가 LLM 상용화의 원년이 될 것이다”라고 예상했다.

또한 2024년에는 멀티모달(Multimodal) 기능이 주목받을 것으로 예상된다. 멀티모달은 텍스트, 이미지, 음성 등 여러 종류에 데이터를 동시에 처리 가능한 AI 기술을 의미한다. 오픈AI는 GPT-4를 통해 멀티모달 기능을 더하기 시작했으며, 구글 또한 지난달 멀티모달 기능이 강화된 차세대 언어모델 ‘제미나이(Gemini)’를 출시한 바 있다.

올거나이즈 신기빈 CAIO는 “현재 언어모델은 텍스트 중심이기에 차트, 그림 등 이미지를 이해하는 데 한계가 있다. 멀티모달 모델이 상용화된다면 생성형 AI는 더 폭넓게 활용될 수 있을 것”이라고 설명했다.

다양한 비즈니스를 추진하고 멀티모달 기능을 강화하는 등 기업들은 생성형 AI 시장에서 경쟁 우위를 잡기 위한 노력을 이어가고 있다. 네이버클라우드는 ‘하이퍼클로바X(HyperCLOVA X)’를 활용한 서비스를 지난해 이어 올해도 꾸준히 선보일 예정이다. 기업용 AI 시장에서는 ‘클로바 스튜디오(CLOVA Studio)’, ‘뉴로클라우드(Neurocloud)’ 등의 확장을 계획하고 있다. 또한 대화형 AI 서비스 ‘클로바X(CLOVA X)’에 이미지 멀티모달 기능을 더하고 검색 서비스 큐:(CUE:)를 모바일로 확대하는 등 주요 서비스 고도화를 준비 중이다.

AI의 환각 현상을 감소시키는 ‘검색 증강 생성(RAG)’으로 주목받은 포티투마루는 B2B와 B2C를 세분화해 공략할 계획이다. B2B 시장에서는 기술력 향상에 집중해 파트너사의 AI 모델 고도화 작업에 참여할 예정이며, B2C 시장에서는 지난해 영국에서 공개한 자사의 기업용 커뮤니케이션 채널 서비스 ‘사이트버니(SiteBunny)’를 유럽, 한국, 일본 등으로 확대한다는 방침이다.

기업 내부 데이터로 학습해 정확도는 높이면서 비용은 줄인 ‘프라이빗 LLM(PrivateLLM)’으로 여러 기업과 협업을 이어온 업스테이지는 자체 개발 모델 ‘솔라(SOLAR)’를 토대로 제품 고도화에 집중한다. 업스테이지 권순일 사업총괄 부사장은 “내년에는 성공적인 프라이빗 LLM 상용화 사례를 만들고, 시장성이 큰 도메인과 작업에 특화된 모델 확보에 나설 계획이다. 그와 동시에 글로벌 확장을 위한 팀 구성과 제품 기반을 마련하도록 노력하겠다”고 말했다.

[클라우드]

‘클라우드 네이티브’와 ‘AI’로 지속 성장 예상

한정호 기자 jeongho@itdaily.kr

클라우드 네이티브 전환·수요 본격 확대

클라우드는 국내에서도 기업 비즈니스의 핵심 인프라로 자리 잡았다. 이전까지는 온프레미스 환경에서 축적한 데이터를 이관하는 데 드는 비용이 부담돼 클라우드 도입·활용을 주저하는 기업들이 많았다면, 2023년에는 경기 불황에도 불구하고 클라우드 인프라 도입이 확대됐다.

더 나아가 올해부터는 단순 인프라로써의 클라우드 활용을 넘어, 클라우드의 이점을 누릴 수 있는 ‘클라우드 네이티브(Cloud Native)’ 관련 수요와 실제 전환 사례가 늘어날 것으로 전망된다. 클라우드 네이티브는 클라우드 환경에서 애플리케이션을 구축, 배포 및 관리하는 소프트웨어 개발 방법론으로, 최근 다양한 산업군에서는 핵심 서비스를 클라우드 인프라로 전환하는 전략을 실행하며 시스템 설계 단계부터 클라우드 환경 최적화를 반영하고 있다.

이와 관련해 NHN클라우드 측 관계자는 “2024년에는 많은 기업 및 조직들이 클라우드 네이티브를 기조로 클라우드와 호환되는 시스템과 다수의 클라우드 네이티브 솔루션 및 서비스를 도입할 것으로 예상된다. 또한 자동화 체계를 구축하고 오픈스택(Openstack)과 같은 클라우드 오픈소스 플랫폼을 기반으로 확장성 확보와 함께 클라우드 이점을 극대화해 나갈 것으로 보인다”며 “이에 따른 클라우드 네이티브 전환을 위한 서비스 상품과 네이티브 구현을 위한 기술지원 서비스 또한 더욱 중요해질 것으로 전망된다”고 말했다.

더욱 확대될 것으로 예상되는 클라우드 네이티브 전환 수요에 대응하고자 클라우드 서비스 제공업체(CSP)와 클라우드 관리 서비스 업체(MSP) 등은 클라우드 네이티브를 구현 여부를 평가할 수 있는 척도인 마이크로서비스 아키텍처(MSA), 컨테이너(Container), 쿠버네티스(Kubernetes)에 관한 컨설팅 및 기술 역량을 확보하는 데 박차를 가하고 있다.

이전과는 달리 보수적으로 평가받는 금융권과 공공기관 등에서도 차세대 프로젝트로써 클라우드 네이티브 전환과 쿠버네티스 도입을 추진하면서 다양한 구축 사례들이 나타나고 있다. 클라우드 업계는 이 같은 추세가 이어지며, 단순 클라우드 인프라 도입을 넘어 실질적인 애플리케이션 현대화가 올해의 주요 과제가 될 것으로 바라보고 있다.

아울러 클라우드 네이티브 기술 내재화가 동반된 클라우드 전환과 함께 기존 기업들의 소프트웨어(SW)가 서비스형 소프트웨어(SaaS)로 점차 탈바꿈될 것으로도 전망된다.

AI와 동반 성장 지속

2023년, IT업계를 관통한 가장 큰 화두는 바로 ‘인공지능(AI)’이었다. 챗GPT(ChatGPT)가 촉발시킨 생성형 AI와 거대언어모델(LLM)은 한 해 동안 전 산업군의 관심을 집중시켰다. IT업계뿐만 아니라, 제조·의료·통신 등 다양한 산업군에서 AI를 비즈니스에 활용하기 위한 방안을 모색했으며, 이에 더해 자체 LLM 및 AI 서비스를 개발하려는 개념검증(PoC)과 연구 개발이 활발히 일어났다.

클라우드 업계도 이러한 AI의 성장으로 새로운 비즈니스 활로를 얻게 됐다. 날이 갈수록 막대한 데이터가 요구되는 AI의 근간에는 방대한 데이터를 수집·저장·분석하기 위해 확장성과 유연성을 갖춘 클라우드 컴퓨팅이 필수적이기 때문이다. 이에 대해 가트너(Gartner)도 클라우드 컴퓨팅이 AI와 머신러닝(ML)의 성장을 주도할 것이라고 전망한 바 있다.

국내 AI 활성화를 위해서는 당연하게도 기반 인프라가 갖춰져야 한다. 이를 위해 KT클라우드, 네이버클라우드, NHN클라우드 등 국내 CSP 3사는 컨소시엄을 이뤄 과학기술정보통신부가 추진하는 ‘K-클라우드 프로젝트’ NPU(신경망 처리 장치) 팜(Farm) 구축을 추진하고 있다. 효과적인 클라우드 컴퓨팅 인프라 제공을 위한 데이터센터, AI 반도체에 대한 투자가 앞으로의 AI 및 클라우드 사업의 당락을 결정하는 핵심 사항으로 더욱 주목받을 것으로 예상된다.

이와 관련해 카카오엔터프라이즈는 고성능 컴퓨팅(HPC)에 주목하고 있다. 카카오엔터프라이즈 이재한 사업부문장은 “높은 처리 속도와 성능을 필요로 하는 게임, 자율 주행, 교통 관리 등의 시뮬레이션 모델링, 의료, 블록체인, 유전체 분석, 유체역학 등의 분야에서는 고성능 컴퓨팅을 필요로 한다. 이에 맞춰 카카오엔터프라이즈는 다양한 산업군에서 클라우드를 통해 IT 리소스를 확보하고 더 많은 혁신을 이끌어낼 수 있도록 지원할 계획이다”라며 “카카오클라우드를 필두로 AI, 게임, 금융, 연구 개발 등의 다양한 분야에서 카카오클라우드의 고성능 컴퓨팅 레퍼런스를 빠르게 확보하고 영역 확장을 본격화할 계획이다. 카카오 그룹사 내부의 생성형 AI 학습을 위한 클라우드 인프라를 제공할 뿐만 아니라 다수의 고객사에 AI 서비스 운영 인프라를 제공하면서 추론 영역으로도 레퍼런스를 확장하고 있다”고 부연했다.

다양한 산업의 AI 활용을 위해 클라우드가 핵심 기반이 되고 있지만, 반대로 클라우드의 안정적 운영을 위해 AI가 활용되기도 한다. 특히 고객의 비용부터 리소스까지 클라우드 운영 전반을 관리하는 MSP 업계에서는 AI가 앞으로 더욱 톡톡한 역할을 할 것으로 전망하고 있다. 특히 MSP 각 사가 서비스하고 있는 클라우드 관리 플랫폼(CMP)이 AI를 주축으로 더욱 고도화돼 기존의 비용 관리는 물론, 클라우드 리소스의 이상 징후 탐지 등까지 실시간 점검하는 지능화·자동화된 클라우드 관리 역량을 보이고 있다.

특히 2023년에는 AI 개발에 업계의 초점이 맞춰졌었다면, 올해부터는 본격적인 AI 서비스 도입 및 상용화가 추진될 전망이다. 이에 대해 베스핀글로벌 측 관계자는 “2024년 클라우드 산업의 트렌드는 데이터와 AI가 될 것이다. 앞으로의 클라우드 운용에 있어 AI를 배제할 수 없다. AI를 비즈니스에 도입하고 잘 활용하기 위해서는 어떤 AI가 적합할지, 그 기반이 되는 데이터는 어떻게 관리하고 운영할 것인지에 대한 판단이 전제돼야 한다. 즉 MSP에게는 AI 서비스를 강화하는 것이 향후 클라우드 산업에서 경쟁력을 확보하는 데 있어서 빼놓을 수 없는 중요한 요소다”라고 설명했다.

클루커스 홍성완 대표도 이에 동감했다. 홍성완 대표는 “2024년은 생성형 AI의 고도화에 따라 다양한 기능의 제품들이 쏟아져 나올 것이고, 이를 누가 빠르게 활용하느냐에 따라 새로운 AI 시장이 열릴 것이라 생각한다”며 “클라우드 MSP는 새로 열리는 AI 중심의 산업에서 고객들이 AI를 빠르고 잘 활용할 수 있도록 도와주는 역할에 충실해야 하며 그 일을 수행하기 위해서는 새로운 기술 개발과 학습이 필요하다. 이를 통해 다양한 AI 기술을 지원할 수 있는 MSP의 AI 플랫폼 서비스를 구축해야 하며 해당 플랫폼을 활용해 고객들이 AI 기술을 쉽게 비지니스에 활용할 수 있는 계기를 마련할 것”이라고 말했다.

데이터 주권 중요성 부각…하이브리드 클라우드 각광

클라우드 상에서의 AI 활용이 촉진됨에 따라 기업 내부 데이터 보호와 클라우드 보안이 올해 더욱 중요해질 것으로 전망된다. 특히 자체 LLM을 개발하거나 클라우드 인프라 위에서 내부 데이터를 AI에 접목해 다루는 기업들을 중심으로 프라이빗 클라우드와 하이브리드 클라우드 이용이 늘어날 것으로 보인다.

보안 우려가 있는 데이터를 프라이빗 클라우드 혹은 온프레미스 인프라에서 관리하되, AI 개발·활용을 위해서는 퍼블릭 클라우드 내 여러 애플리케이션 프로그래밍 인터페이스(API) 툴을 이용하는 양상이 나타날 것이라는 게 업계의 전망이다.

비용 최적화 측면에서도 하이브리드 클라우드는 강점이 있다. 이에 대해 가비아 측 관계자는 “2024년에는 하이브리드 클라우드를 이용하는 기업 수가 더 늘어날 것으로 보인다. 클라우드의 민첩성을 누리면서도, 기업의 데이터 통제권을 유지할 수 있는 서비스 형태로서 하이브리드 클라우드의 인기가 더욱 높아지고 있기 때문이다”라면서 “하이브리드 클라우드의 강점은 퍼블릭 클라우드와 온프레미스 또는 프라이빗 클라우드의 장점을 모두 활용해 기업이 비용을 최적화한다는 점이다. 일례로 클라우드에 저장하는 데이터가 늘어날수록, 클라우드 비용도 상승할 수밖에 없다. 하지만 대용량 데이터를 온프레미스에 저장하면 클라우드 스토리지를 이용하는 것보다 더 경제적일 수 있다. 반대로 트래픽 규모를 예측하기 어려운 신규 서비스를 퍼블릭 클라우드로 운영하면, 출시 후 어떤 규모의 사용자도 유연하게 수용할 수 있다”고 설명했다.

이어 이 관계자는 “더 나아가 데이터를 내부 온프레미스에서 관리하면, 데이터에 대한 가시성과 통제력을 강화할 수 있다. 최근 각국에서 데이터 주권, 데이터 보안에 대한 엄격한 지침을 요구하고 있어, 온프레미스나 프라이빗 클라우드에 데이터를 보관하고 관리하는 방식이 컴플라이언스 이행에는 더 유리하다. 이처럼 기업이 보유한 다양한 워크로드를 가장 비용 효율적으로 구현할 수 있는 서비스에 선택적으로 배치할 수 있다는 점에서 하이브리드 클라우드 도입은 탄력을 받을 것으로 전망된다”고 덧붙였다.

이 가운데 함께 부상한 것이 바로 데이터 주권 확보와 보안 우려 불식을 위한 ‘소버린 클라우드(Sovereign Cloud)’다. 소버린 클라우드는 국가 및 특정 지역의 법률과 규정을 준수하면서 데이터에 대한 통제권, 소유권, 자주성을 부여할 수 있는 클라우드 컴퓨팅 아키텍처다. 소버린 클라우드는 특정 국가의 데이터센터 및 리전에 CSP 서버를 둬 데이터가 자국에 위치되고 외국으로부터의 데이터 접근을 금한다. 이를 통해 데이터 접근 제어와 우수한 보안성을 확보할 수 있어, AI 및 기업 내부 데이터 보호를 위한 방안으로 향후 더욱 각광받을 것으로 전망된다. 또 금융권 시장의 클라우드 전환이 늘어나면서 금융 산업에 최적화된 안전성과 보안, 규제·규정 준수를 갖춘 금융 전용 리전형 클라우드도 중요해지고 있다.

공공 클라우드 네이티브 전환 사업 본격화…개선 사항 존재

올해부터 디지털플랫폼정부위원회(디플정위)와 행정안전부를 핵심 주축으로 ‘공공 클라우드 네이티브 전환 사업’이 본격화될 예정이다. 이에 현재 국내 클라우드 업계는 촉각을 곤두세우고 바라보고 있다. 2023년은 행안부가 주도해 공공·행정기관의 클라우드 전환을 추진하는 ‘리프트 앤 시프트(Lift & Shift)’에서 각 기관이 주도적으로 전환 사업을 발주하는 방식으로 변화하는 ‘과도기’였다.

디플정위가 ‘디지털플랫폼정부 실현계획’을 통해 공공 정보시스템의 클라우드 인프라 전환을 클라우드 네이티브 전면 전환으로까지 확장한다고 발표하면서 향후 연도별 목표 전환율도 공시됐다. 2024년 10%, 2027년 60%, 최종 2030년 100%다.

이를 두고 클라우드 업계 일각에서는 지난 행안부 주도의 일반 전환 사업도 순탄치 않았는데, 클라우드 네이티브 전환의 경우 유의미한 성과를 얻기 위해서는 공시된 연도별 목표보다 더 많은 시간과 비용이 소모된다고 우려하기도 했다. 2023년 디플정위가 발표한 편성 예산안을 살펴보면, 올해 디플정 총예산 9,262억 원 중 ‘정부시스템 클라우드 네이티브 전환’ 부문에는 758억 원이 편성돼, 클라우드 네이티브 전환 사업을 진행하기에는 현실적으로 부족한 예산 책정이라는 지적도 나왔었다.

그럼에도 불구하고 2023년 ‘정부 24’ 시스템의 MSA 적용 시범사업을 거쳐 올해부터는 본격적으로 공공 클라우드 네이티브 전환 사업이 디플정위에 의해 추진될 것으로 알려진다. 이와 관련해 업계 한 관계자는 “당초 행안부와 디플정위가 공공 클라우드 네이티브 전환 사업에 대해 개별 공공기관별로 기재부 협의를 통해 자체적으로 사업을 발주해서 진행하는 것으로 내세웠는데, 2030년을 해당 사업의 완수 시점으로 지정한 것은 사업이 강제성을 지닌 것으로 보인다”며 “정부 측에서 이 사업을 본격적으로 진행하기 이전에 먼저 민간 기업과 공공기관을 대상으로 일정한 방향성을 담은 가이드라인과 로드맵, 명확한 성과 측정 방식을 제시해 주면 좋을 것 같다”고 말했다.

국내 클라우드 업계는 민간 시장의 경우 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드(Google Cloud) 등 해외 CSP가 상당한 점유율을 차지하는 만큼, 국내 CSP들에게는 공공 부문에서의 사업 수주와 레퍼런스 확보가 무척 중요하다고 한 목소리를 내고 있다. 따라서 올해부터 본격 추진되는 핵심적인 공공사업인 공공 클라우드 네이티브 전환 사업의 향방에 주목된다.

이에 대해 업계 한 담당자는 “디플정위에서 적극적으로 추진 중인 공공기관의 클라우드 네이티브 전환이 성공하기 위해 기술적, 운영적, 제도적 측면의 준비가 필요할 것으로 생각된다”고 의견을 피력했다. 이 담당자는 “첫 번째 기술적 측면에서는 유연성과 안정성 확보가 가장 중요한데, 이를 구현하기 위한 핵심은 MSA와 컨테이너에 있다. 기존에 진행되던 공공 클라우드 전환처럼 리프트앤시프트 방식과 다르게 전환 컨설팅과 설계 시부터 MSA 기반의 컨테이너 방식을 추구해야 한다. 이를 통해 특정 CSP에 종속되지 않고 유연성을 확보하며, 멀티 클라우드를 편리하게 구현할 수 있어 장애 등과 같은 갑작스러운 상황에서도 높은 안정성을 갖출 수 있다”며 “운영 면에서는 공공기관 내의 내부 전문 인력 양성 및 확보가 필수적이다”라고 제언했다.

이어 “제도 측면에서는 롤 모델이 될 수 있는 우수 선도 사례를 빠르게 발굴하고 이를 독려할 수 있는 클라우드 운영에 적합한 예산 지원 체계를 갖출 필요가 있다. 민간 영역에서도 새로운 시도의 부담을 줄이기 위해 선도 사례가 늘 중요한 만큼, 공공기관에 동기부여가 되고 참조 모델이 될 수 있도록 클라우드 사용 예산을 전체 또는 일부 지원을 통해 우수사례를 신속히 만들어 배포해야 한다”며 “전환 우수 공공기관 대상으로 클라우드 사용료 지원 등과 같은 예산 인센티브를 통해 양적 확대뿐 아니라 질적 성장도 끌어낼 수 있다. 클라우드 네이티브 전환 사업 예산 내에는 전환비 외에 사용료는 지원하지 않고 있다. 전환을 검토 중인 기관은 구축 이후 지속 발생하는 사용료가 부담으로 다가오기에 이를 해소하고, 전환 참여도를 높일 수 있도록 적극적인 예산 지원이 필요할 것으로 보인다”고 덧붙였다.

[정보보안]

정치·사회 이슈 업고 2024년에도 사이버 위협 확대 전망

정종길 기자 gil0717@itdaily.kr

은밀하게 지속되는 SW 공급망 공격

한국인터넷진흥원(KISA)의 전망에 따르면 2024년에도 해킹 그룹들은 인터넷에 무상으로 공개된 소스 코드나 소프트웨어(SW)를 개발자들이 많이 이용한다는 점을 악용할 것으로 예상된다. 즉 유명한 오픈소스를 사칭하거나 변조된 코드를 배포하는 방식으로 개발자 대상의 공격을 확대해 나갈 것이라는 설명이다. 지능적이고 지속적인 공격(APT)을 통해 은밀히 침투에 성공하고 개발자 시스템을 장악하면, 개발 제품에 악의적인 코드를 쉽게 포함시킬 수 있기 때문이다.

SW 공급망을 통한 공격 시도 역시 계속 증가할 것으로 보인다. SW의 제작과 운영 단계에서 정상 제품에 악성코드가 포함돼 배포되면, 해당 SW를 이용하는 기업 또는 기관들은 악성코드 등이 침투됐다는 사실도 인지하지 못한 상태에서 고객사 등 다른 이용자에게까지 연쇄적으로 피해를 확대시킬 수 있다.

이러한 공급망 공격 대응을 위해서는 2023년 화두가 됐던 SBOM(Software Bill Of Material; 소프트웨어 자재명세서)과 함께 2024년에는 제조업체, 프로그램 소유자 등에게 제품과 기술의 출처, 보안 위협과 관련된 정보를 제공하는 HBOM(Hardware Bill Of Material; 하드웨어 자재명세서)의 필요성이 새롭게 높아질 것으로 전망된다. SBOM은 SW 중심의 모니터링과 사고 대응에 유용하고, HBOM은 제품 조달이나 현장 점검에 사용될 수 있다. 이에 시스템 구축과 운영에 SBOM과 HBOM을 함께 고려하는 것이 보다 효과적인 방법이 될 수 있을 것이라는 게 KISA 측 조언이다.

생성형 AI를 악용한 사이버 범죄 가능성 증가

챗GPT(ChatGPT)를 필두로 하는 생성형 인공지능(AI) 기술의 급속한 발전은 다양한 분야에서 진화와 혁신을 가져왔다. 하지만 해당 기술은 사용자가 보안에 대한 전문적인 지식이 없더라도 손쉽게 악성코드 제작뿐 아니라 취약점 확인, 사회 공학적 공격, 음성 위변조 등 다양한 사이버 공격에 악용될 수 있는 위험성도 내포하고 있다.

더 나아가 공격 대상의 정보를 수집하고 분석하는 것도 생성형 AI를 사용한다면 더욱 자동화하고 가속화될 수 있을 것이다. 생성형 AI와 대규모언어모델(LLM)을 활용해 범죄 대상과 범죄 방법을 제공하는 서비스가 다크웹 등 해킹 포럼에 소개된다면, 누구나 쉽게 사이버 범죄에 가담할 수도 있다는 점에서 우려가 커지고 있다.

실제로 공격자가 기술 용어나 특정 비즈니스 영역에 능통하지 않더라도 공격 대상이 쉽게 속을 수 있도록 정교하게 이메일 본문을 작성하고 악성 프로그램을 제작해 주는 등 피싱 이메일 공격을 도와주는 생성형 AI 기반의 사이버 범죄 도구가 최근 발견되기도 했다. 또한 기존 백신 등이 탐지하기 어려운 변종 악성코드를 만드는 데도 생성형 AI 기술이 더욱 많이 이용될 것으로 보인다.

이에 따라, 생성형 AI를 악용하는 사이버 범죄에 적극적으로 대응할 수 있는 관련 보안기술을 개발할 필요성이 높아질 것으로 KISA는 전망하고 있다. 공격 가능성이 높은 취약점을 미리 식별하고 대응하기 위한 기술 개발이나, 생성형 AI 모델의 결과물을 식별하고 진위여부를 판별할 수 있는 기술 등을 당장 현장에서 요구할 수 있다는 게 KISA의 분석이다.

OT/ICS 및 IoT 환경의 보안 위협 증가

그동안 제조, 에너지, 교통, 통신, 의료 등 주요 사회 인프라는 ‘중단 없는 서비스’를 최우선 목표로 삼고 폐쇄망에서 운영돼 외부 침입이 불가능했다. 하지만 스마트 설비와 디지털 트윈 등 정보통신(IT) 기술이 현장에 적용되면서 운영기술(OT), 산업제어시스템(ICS), 사물인터넷(IoT) 기반 시스템과 상호 연결이 증가하며 보안 위협도 함께 급증하고 있다.

최근 한 글로벌 보안 업체의 발표에 따르면, 전 세계 ICS 중 33% 이상에서 악성코드가 탐지됐는데, 이 중 약 10%가 지속적으로 감염이 반복되는 경우인 것으로 밝혀졌다. IP 카메라, 공유기 등 IoT 장비 관련 신규 보안 취약점도 매년 꾸준히 증가하고 있는 것으로 확인됐다.

또한 국제침해사고대응협의체(FIRST, Forum of Incident Response and Security Teams)는 지난 11월 ‘사이버 보안 위험도 측정(CVSS 4.0)’을 업데이트해 발표했는데 OT/ICS, IoT에 대한 취약점 평가 기준항목을 새롭게 추가하며 이 분야에 대한 새로운 위협 경고와 대응을 보다 강조하고 있다.

OT/ICS 환경은 일반적으로 IT 환경보다 기능이 제한적이고 공격 표면도 작지만, 취약점에 대한 펌웨어 등 보안 패치가 제조사별로 늦게 제공되거나 서비스의 무중단을 이유로 보안 패치를 소극적으로 적용하는 등 운영방식의 문제점도 있다.

이 점을 노려 OT/ICS와 IoT 환경에서 발생할 수 있는 가장 큰 위협으로는 국가 간 이해관계 충돌로 인한 공격이 있다. 주요 국가 기반시설의 중요 정보를 탈취하거나, OT/ICS와 IoT 환경에 악성코드를 유포해 시스템의 오작동, 정지 등을 유발시키는 행위는 기반시설을 사용하는 국민의 안전과 생명을 위협하는 매우 치명적인 공격이 될 수 있다.

또한 업무 환경 변화와 담당자 변경 등으로 인해 조직 내에서 관리되지 않는 장비를 대상으로 한 공격도 증가할 수 있다. 이를 위해서는 각 장비들이 어떤 위험을 초래하는지를 정의해야 하고, 공격표면을 효과적으로 줄이기 위한 취약점 해결 우선순위를 지정해야 할 필요가 있다고 KISA 측은 덧붙였다.

정치·사회적 이슈를 악용하는 사이버 위협 고조

2024년에는 국내뿐만 아니라 해외까지, 대규모 정치적 행사가 예정돼 있다. 한국은 4월에 22대 국회의원 총선거가 있으며, 미국도 3월에 상·하원 선거, 11월에 대통령 선거가 잡혀 있다. 이에 그 어느 해보다 정치·사회적으로 많은 이슈와 관심이 집중될 것으로 예상된다.

이처럼 국가적인 중요한 행사가 있을 때는 사회 혼란을 노리는 세력들의 사이버 위협 가능성도 함께 높아진다. 악의적 의도를 지닌 공격자들은 불순한 목적이나 갈등을 조장하기 위한 다양한 공격을 시도할 수 있다. 또한 최근 이념, 종교, 이권 등에 따라 세계가 블록화되면서 적대 세력 간 혹은 국가 간의 물리적 충돌 및 분쟁이 사이버 영역으로까지 확대될 것으로 예상되는 상황이다.

해킹 그룹은 목표물을 공격하기 위한 사전작업으로 목표 관계자와 주변을 사회 관계망 서비스(SNS)로 확인하고, 피싱 공격, 악성코드 감염, 해킹 등을 통해 얻은 시스템 관리자 등의 계정정보를 이용한다. 또한, 딥페이크 기술을 적극 활용해 가짜 뉴스를 생산하고, 예전에 유출된 내용으로 거짓 해킹을 주장할 수도 있다.

국가 주도의 해킹 그룹은 상대 세력의 중요 정보를 몰래 유출하기 위한 활동과 함께, 사회 전반에 혼란과 장애를 일으킬 수 있는 공격을 시도할 것이며, 그 대상은 온라인으로 연결된 곳이라면 어디든 될 수 있다. 또한 핵티비스트(Hacktivist; Hacking+activist)들은 자신들의 신념에 따라 공격 대상을 정하고 지속적으로 공격을 진행할 것으로 전망된다.

KISA 측은 “언론사와 포털, 선거 관련 기관들에 대한 공격에 효과적으로 대응하지 못한다면, 그 피해는 온라인에서만 국한되는 것이 아니라 사회 전반에 대한 사이버 테러가 될 수 있다. 공격자들은 경험과 학습을 통해 더욱 지능적인 공격 시나리오나 전략을 계획할 수 있어 철저한 대응이 필요하다”면서 “따라서 2024년은 예전보다 더 높은 경각심과 경계 태세를 유지해야 할 때이며, 민·관이 더 긴밀히 협력해 사이버 보안 체계를 상시 점검하고 강화해 나가야 한다”고 강조했다.

2024년도 정부 사이버 보안 대응 전략

사회·경제 전반의 디지털 전환(DX) 흐름에 발맞춰 사이버 방어 체계를 고도화하려는 노력에도 불구하고, 공격자들 역시 새로운 취약점을 찾아 진화하고 있다. 이에 2024년에도 예측 불가능한 침해사고가 결국에는 발생할 것이라는 게 많은 업계 전문가들의 예상이다.

따라서 기관, 기업 등의 조직들은 단순히 보안시스템을 도입해 운영하고 있다는 것만으로 안심하는 것보다는, 만일의 상황에 대비해 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 프로세스를 반복적으로 점검하고 강화해야만 한다.

과학기술정보통신부와 KISA는 유관기관들과 협력해 면밀한 공격 탐지와 차단, SW 개발사와 신속한 보안패치 배포 등 피해 확산 방지에 적극 대응하고 있으며, 보안역량이 취약한 기업들을 위해 홈페이지, 시스템 등의 보안 취약점 점검, 실전형 모의침투 훈련 지원뿐만 아니라, 국민들을 대상으로 모바일기기·PC의 자가 보안점검 서비스를 제공하고 있다.

또한 지난해 7월 발표한 ‘제로트러스트 가이드라인 1.0’을 기반으로 국내 기업 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’을 지난해 12월 공개한 바 있으며, 올해 초에는 ‘SW 공급망 보안 가이드라인’도 마련해 제공하고 상반기에는 ‘제로트러스트 가이드라인 2.0’을 정비해 발표할 예정인 등 기업의 정보보호 역량 강화를 계속 지원한다는 계획이다.

과기정통부 홍진배 네트워크정책실장은 “우리 사회를 대상으로 하는 사이버 공격은 이제 단순히 서비스 장애나 불편을 넘어서, 사회 전체를 마비시키고 생명을 위협할 수 있는 중대사고가 될 수 있다”면서 “민관이 함께 협력해 알려진 사이버 위협은 또다시 재발하지 않도록 철저히 분석해 대책을 마련하고, 새로운 위협은 선제적으로 예방할 수 있도록 노력해 안전한 디지털 세상을 만들어 가겠다”고 밝혔다.