해커의 무기로 변한 AI, 개인과 기업은 "보안 의식과 교육 강화" 아닐까요?

최근 KT 무단 소액결제 사태와 롯데카드 해킹 사건은 사이버 보안이 더 이상 특정 기업의 문제가 아닌, 우리 모두의 일상과 직결된 사회적 위험이라는 점을 보여주었습니다. 주목할 점은 인공지능(AI)이 해커의 손에 들리면서 공격의 정교함이 과거와는 비교할 수 없는 수준으로 발전했다는 사실입니다.

더 똑똑해진 피싱 메일

출처: 뉴시스

 

과거의 피싱 메일은 번역기를 돌린 듯한 문장이나 어색한 표현으로 인해 쉽게 의심을 살 수 있었습니다. 하지만 ChatGPT 같은 생성형 AI는 기업의 소통 방식이나 개인의 온라인 흔적을 학습해 마치 실제 업무 문서와 거의 구분하기 힘든 맞춤형 메일을 만들어냅니다. 보안업체 프루프포인트와 체크포인트는 “생성형 AI를 활용하면 짧은 시간 안에 대량의 자연스러운 피싱 메일을 제작할 수 있으며, 기존 탐지 시스템을 우회할 가능성도 커진다”고 경고했습니다.

 

특정 임직원의 이름, 직위, 업무 내용을 포함하는 스피어 피싱(Spear Phishing) 공격은 AI 덕분에 더욱 정교해졌습니다. 예를 들면 "김영철 부장님, 지난주 검토하신 보고서 초안입니다. 확인 부탁드립니다"와 같은 메일은 실제 상황과 거의 구별이 불가능합니다. 국내 기업 보안 담당자들도 "일반 직원이 이제는 이런 메일을 걸러내기 어렵다"는 우려를 드러내고 있습니다.

목소리까지 복제하는 AI 보이스피싱

AI의 또 다른 위협은 음성 합성 기술입니다. 몇 초 분량의 샘플만 있으면 특정인의 목소리를 완벽하게 재현할 수 있어, 보이스피싱 수법이 고도화되고 있습니다.

이미 2019년 영국에서는 CEO의 목소리를 흉내 낸 AI 합성 음성을 믿고 한 기업이 약 20만 유로를 송금하는 사건이 발생했습니다.  피해자는 “억양과 말투가 너무 자연스러워 조금도 의심하지 않았다”고 밝혔습니다. 우리나라 금융당국 역시 최근 AI 보이스피싱 위험성을 강조하며 경계심을 당부하고 있습니다.

다크웹에서 거래되는 AI 해킹 툴

최근 다크웹에서는 생성형 AI를 이용한 다양한 해킹 도구가 거래되고 있습니다. 보안업체의 조사에 따르면 'AI 해킹 가이드북'부터 보안 필터를 피해가는 프롬프트, 랜섬웨어 자동 생성 코드, 악성코드 조각 등 실제 범죄에 활용 가능한 도구가 판매되고 있다고 합니다.

전문가들은 “AI가 프로그래밍을 돕는 특성이 해커에게는 손쉬운 공격 수단이 된다”고 지적하며, 이런 환경이 앞으로 더 빠르게 확산될 수 있다고 우려합니다.  

한국인터넷진흥원(KISA) 역시 최근 보고서를 통해 "AI가 사이버 공격에 악용될 가능성이 갈수록 커지고 있다"며 기업과 기관의 보안 역량 강화를 촉구했습니다.

AI vs AI, 기술적 방어 필요

해커들이 AI를 무기로 삼는다면, 방어 역시 AI에 의존할 수밖에 없습니다. 기존 보안 시스템은 정해진 패턴만 탐지했지만, AI 기반 솔루션은 스스로 학습해 새로운 공격 유형까지 식별할 수 있습니다.

 

마이크로소프트와 팔로알토네트웍스 같은 글로벌 보안업체는 이미 AI 기반 위협 탐지 서비스를 상용화했으며, 수십억 건의 로그를 분석해 보안 이상 징후를 조기에 감지하고 합성 음성의 미묘한 흔적까지 잡아내는 기술을 선보이고 있습니다. 국내에서도 일부 통신사와 금융권이 AI 보안 시스템 도입을 확산하는 추세입니다. 전문가들은 “AI 방어에는 막대한 데이터와 비용이 필요하기 때문에 중소기업과 기관까지 포괄할 정부 차원의 지원이 절실하다”고 강조합니다.

지금 필요한 것은 '보안 의식'

생성형 AI는 업무 효율과 창의성을 높이는 혁신적인 도구지만, 동시에 사이버 공격을 정교하게 만드는 양날의 검입니다. 최근의 해킹 사건이 보여주듯 보안이 뚫리면 사회적 신뢰가 붕괴되고 경제적 안정이 동시에 흔들립니다. 이제 해커들의 공격은 메일, 음성, 금융거래 등 우리의 일상에 깊숙이 침투하고 있습니다.

결국 기술적인 방어막과 개인과 기업 모두의 보안 의식 강화하는 노력이 필요합니다. 낯선 메일이나 예기치 못한 음성, 의심스러운 결제 요청은 반드시 확인 절차를 거쳐야 하며, 기업은 직원 보안 교육을 정기적으로 시행해야 합니다.