최근 KT 무단 소액결제 사태와 롯데카드 대규모 해킹 사건으로 사이버 보안에 대한 우려가 커지고 있습니다.
해킹 위협은 더 이상 특정 기업만의 문제가 아니라 국민 모두의 일상에 영향을 미치는 사회적 위험으로 떠오르고 있습니다.
주목해야 할 점은 인공지능(AI) 기술이 이제 해커들의 손에 들린 강력한 무기로 탈바꿈하고 있다는 사실입니다.
챗GPT 등 생성형 AI가 등장하기 전만 해도 피싱 메일이나 보이스피싱에는 '어설픔'이 묻어났습니다.
문법 오류, 부자연스러운 표현, 어색한 억양 때문에 피해자들의 의심을 샀기 때문입니다.
하지만 언어와 음성마저 자유자재로 만들어내는 AI의 발전은 이 같은 허점을 순식간에 메우고 있습니다.
전문가들도 "AI가 만든 해킹은 인간이 직감적으로 구별해내기 어려운 수준"이라고 우려할 정도입니다.
대표적인 사례가 바로 이메일 피싱입니다.
과거 피싱 메일은 번역기를 돌린 듯한 어투나 엉뚱한 표현 때문에 쉽게 걸러졌습니다.
하지만 최근에는 생성형 AI가 기업의 소통 방식과 개인의 온라인 활동 흔적을 학습해 실제 업무 메일과 흡사하게 위장한 피싱 메일을 만들어냅니다.
미국 보안업체 프루프포인트와 체크포인트는 최근 보고서에서 "생성형 AI를 활용하면 짧은 시간 안에 자연스러운 맞춤형 피싱 메일을 대량으로 작성할 수 있으며 기존 탐지 시스템을 피할 확률도 높아진다"고 경고했습니다.
특정 임직원의 이름, 직위, 업무 내용까지 포함하는 스피어 피싱(Spear Phishing) 공격은 AI 덕분에 더욱 정교해졌습니다.
예를 들어 "김영철 부장님, 지난주 논의하신 사업 보고서 초안입니다. 검토 부탁드립니다. 바로 확인하시려면 여기를 클릭하세요"와 같이 실제 상황과 구분이 어려운 수준의 공격이 가능해진 것입니다.
국내 보안 업계도 비슷한 우려를 하고 있습니다.
보안 솔루션 관계자는 "과거에는 수상한 표현만으로도 이메일 피싱 여부를 가려낼 수 있었지만 이제는 정교한 언어 생성 기술 때문에 일반 직원들이 식별하기 어려워졌다"고 전했습니다.
AI의 또 다른 위협은 음성 합성 기술입니다.
불과 몇 개의 음성 샘플만 있어도 특정인의 목소리를 완벽하게 재현하는 기술이 이미 상용화된 상태입니다.
2019년 영국에서는 한 에너지 기업이 최고경영자(CEO)의 목소리를 흉내 낸 AI 합성 음성을 믿고 20만 유로를 송금했다가 피해를 봤습니다.
당시 피해 직원은 "사장의 억양과 말투가 너무 자연스러워 조금도 의심하지 않았다"고 진술했습니다.
우리나라에서도 금융당국과 경찰청은 최근 'AI 보이스피싱'의 위험성을 강조하고 있습니다.
과거에는 "딸이 납치됐다"며 울먹이는 가짜 음성을 재생하는 수준이었다면 이제는 실제 가족의 목소리와 구분하기 힘든 합성 음성이 범죄에 사용될 수 있다는 것입니다.
해외 보안업체들의 보고서를 보면 다크웹에서는 이미 생성형 AI를 이용한 해킹 툴이 거래되고 있습니다.
미국 보안분석업체 레코디드 퓨처와 체크포인트는 최근 조사에서 "다크웹 포럼에서 AI 모델을 악용한 공격 툴과 프롬프트가 거래되고 있으며 일부 포럼에서는 'AI 해킹 가이드북'까지 판매되고 있다"고 밝혔습니다.
여기서 거래되는 상품은 다양합니다.
기존 보안 필터를 우회하도록 AI의 윤리적 가이드라인을 교묘하게 벗어나는 '프롬프트 엔지니어링' 기술부터 랜섬웨어 자동 생성 코드, 악성코드 조각 등이 대표적입니다.
전문가들은 "AI가 프로그래밍을 돕는 특성이 역설적으로 해커에게도 손쉬운 공격 수단을 제공하는 셈"이라고 지적합니다.
한국인터넷진흥원(KISA)은 최근 보고서에서 "AI가 사이버 공격에 악용될 가능성이 커지고 있다"며 기업과 기관의 대응 역량 강화를 촉구했습니다.
해커들이 AI를 무기로 삼는다면 방어도 AI를 활용할 수밖에 없는 게 현실입니다.
기존 보안 솔루션이 정해진 패턴에 기반해 위협을 탐지했다면 AI는 스스로 학습해 새로운 공격 양상까지 식별할 수 있기 때문입니다.
마이크로소프트, 팔로알토네트웍스 등 글로벌 보안업체들은 이미 AI 기반 위협 탐지 서비스를 상용화했습니다.
이들 솔루션은 수십억 건의 네트워크 로그를 분석해 이상 징후를 감지하거나 합성 음성의 미세한 흔적을 포착하는 방식으로 공격을 막아냅니다.
국내에서도 일부 통신사와 금융권이 AI 보안 도입을 확대하는 추세입니다.
전문가들은 "AI 방어 시스템 구축에는 막대한 데이터와 비용이 필요하다"며 중소기업이나 기관까지 아우를 수 있는 범정부 차원의 지원이 절실하다고 조언하고 있습니다.
이처럼 생성형 AI는 업무 효율과 창의성을 높이는 혁신적인 기술이지만 사이버 공격을 정교하게 만드는 '양날의 검'이기도 합니다.
해커들은 AI를 통해 더욱 은밀하고 자연스러운 공격을 시도하고 있으며 피해자들은 이를 구분하기 점점 더 어려워지는 상황입니다.
최근 SK텔레콤과 KT, 롯데카드 사태가 보여주듯 보안이 뚫리면 사회적 신뢰가 무너지고 경제적 피해로 이어집니다.
보안 전문가들의 말처럼 이제 AI 공격은 AI 방어로만 막을 수 있다는 인식이 보편화되는 추세입니다.
AI 시대의 해킹은 먼 미래의 일이 아니라 우리가 매일 쓰는 이메일과 휴대전화 그리고 금융거래까지 이미 깊숙이 침투해 있습니다.
이제 기술적 방어뿐만 아니라 개인과 기업의 보안 의식을 높이는 것이야말로 새로운 위협에 맞서는 중요한 첫걸음입니다.