AI가 만든 '두 얼굴의 위협'.. 글로벌 기업 62%, '딥페이크' 공격 당했다

딥페이크.jpg

[시큐리티팩트=최석윤 기자] 인공지능(AI)이 기업에 새로운 위협을 던지고 있다. AI가 만든 정교한 공격 방식이 등장하는 동시에, 기존의 취약점은 더욱 빠르게 확산되고 있다. 23일(현지 시각) 인포시큐리티 보도에 따르면, 최근 발표된 두 개의 보고서는 이처럼 복잡하고 위험해진 사이버 보안 환경을 생생하게 보여준다.

딥페이크, '사회 공학'과 결합해 시스템 위협

위험은 현실이 됐다. 글로벌 IT 자문회사 가트너(Gartner)의 최신 설문 조사에 따르면, 놀랍게도 북미, EMEA(유럽, 중동, 아프리카), 아시아 태평양 지역 기업의 거의 3분의 2(62%)가 지난 1년간 '딥페이크(Deepfake)' 공격을 경험한 것으로 나타났다. 딥페이크는 AI를 이용해 사람의 얼굴이나 목소리를 진짜처럼 조작한 가짜 영상이나 음성이다. 이러한 공격은 단순히 재미로 그치지 않는다. 직원과의 영상 또는 음성 통화 중에 누군가를 사칭하거나, 얼굴이나 음성 생체 인식 같은 자동 인증 시스템을 속이는 데 악용되고 있다.

가트너의 아키프 칸(Akif Khan) 이사는 딥페이크가 '사회 공학(Social Engineering)'과 결합될 때 더욱 위험해진다고 경고했다. 사회 공학은 기술적인 해킹이 아니라, 사람의 심리를 파고들어 정보를 빼내는 방식이다. 가장 흔한 형태는 임원을 사칭해 직원이 거액의 돈을 공격자가 지정한 계좌로 이체하도록 만드는 것이다. 가짜 최고경영자(CEO)가 영상 통화로 긴급 송금을 지시하는 상황을 상상해 보라. 직원들은 실제로 뭔가 수상한 점을 발견하려고 노력해야 하는 최전선에 서 있다. 자동화된 방어 시스템에만 의존할 수는 없다.

칸 이사는 이러한 위협으로부터 기업을 보호하기 위해 새로운 기술 솔루션을 고려해야 한다고 촉구했다. 특히 마이크로소프트 팀즈나 줌 같은 일상적인 협업 도구에 딥페이크 탐지 기술을 적용해야 한다고 말했다. 물론 아직은 초기 단계라 실제 운영 환경에서 얼마나 효과적일지는 더 지켜봐야 한다.

단기적인 방안도 있다. 일부 조직은 이미 직원들을 대상으로 효과적인 인식 교육 프로그램을 시작했다. 여기에는 회사 임원의 딥페이크를 직접 만들고 이를 직원들에게 보여주며 시뮬레이션하는 방식도 포함된다. 또한, 지불 승인 같은 민감한 비즈니스 프로세스를 다시 점검해야 한다. 칸 이사는 재무 애플리케이션에 로그온해 실제로 거래를 승인할 때에는 다단계 인증(MFA)을 반드시 사용해야 한다고 조언했다. 이는 가짜 CEO가 전화를 걸어 송금을 요청하더라도, 결국 CFO가 직접 이중 잠금장치로 확인하는 절차를 거치게 하는 것이다.

AI가 만들어낸 또 다른 위협은 바로 AI 애플리케이션 자체를 공격하는 방식이다. 가트너의 보고서에 따르면, 지난 12개월 동안 조직의 32%가 AI 애플리케이션에 대한 공격을 경험했다. 이러한 공격에는 해커가 AI에게 편향되거나 악의적인 답변을 생성하도록 유도하는 '프롬프트 인젝션'이 포함된다. 칸 이사는 아직 조직이 직면한 가장 큰 위협은 아니지만, 응답자의 약 5%가 심각한 사건을 경험했다고 답했기 때문에 결코 가볍게 여겨서는 안 된다고 강조했다.

AI 혁신의 뒷그림자.. 드러난 '기본적' 취약점들

하지만 AI의 위협은 이것만이 아니다. 버그바운티 플랫폼 기업 버그크라우드(Bugcrowd)의 연례 보고서는 또 다른 위험을 경고한다. AI 지원 소프트웨어 개발은 혁신을 가속화하지만, 동시에 '공격 표면(Attack Surface)'을 기하급수적으로 확대하고 있다는 것이다. 공격 표면은 해커가 침입할 수 있는 모든 경로와 통로를 의미한다. 마치 고속도로를 달리며 안전장치를 빼놓는 격이다.

빠른 개발 속도로 인해 출시된 애플리케이션들은 종종 보안에 구멍을 남긴다. 접근 제어, 데이터 보호, 하드웨어 보안 같은 기본적인 부분에 허점이 생긴다. 버그크라우드 보고서는 지난 1년간 다음과 같은 근본적인 취약점들이 폭증했다고 지적했다.

△ 사물인터넷(IoT) 확산으로 인한 하드웨어 취약성 88% 증가

△ 민감한 데이터 노출 42% 증가

△ 네트워크 취약성 두 배 증가

△ 손상된 접근 제어 취약점 36% 증가

버그크라우드의 CISO 닉 매켄지는 “우리는 고위험 혁신 경쟁에 참여하고 있지만, AI가 발전할수록 보안 환경은 기하급수적으로 더 복잡해진다”고 말했다. 그는 공격자들이 이러한 복잡성을 악용하는 동시에, 여전히 하드웨어와 API 같은 기본적인 계층을 표적으로 삼고 있다고 설명했다. "어떤 CISO도 이 경쟁에서 혼자 승리할 수 없다." API는 서로 다른 프로그램이나 서비스가 복잡한 내부 구조를 알 필요 없이 소통할 수 있게 해주는 규칙과 통로이다.

i카운터의 CEO 존 와터스는 이제 모든 사람이 공격의 '첫 번째 희생자'가 될 수 있는 새로운 시대에 직면했다고 경고했다. 기존의 예측 가능한 공격 방법은 사라지고, 새로운 유형의 위협들이 등장하고 있다는 것이다.

해킹.jpg

'최고 보안 책임자(CISO)'의 외로운 싸움

이처럼 AI가 던진 이중 위협은 기업의 최고 보안 책임자(CISO)들에게 전례 없는 도전을 안겨주고 있다. 그들은 이제 딥페이크처럼 새롭게 등장한 고도의 공격을 막아내는 동시에, 이미 알려져 있던 근본적인 취약점의 폭증까지 함께 해결해야 하는 이중고에 시달린다.

보고서는 CISO의 역할이 단순히 기술적인 방어에만 머무를 수 없다고 지적한다. 그들은 기술적 깊이와 함께 비즈니스 전반을 아우르는 '전략가이자 소통가'로 진화해야 한다. 즉, 민첩하고 협력적인 사이버 관행을 통해 비즈니스 목표와 보안을 더 긴밀하게 연결해야 한다는 것이다.

랜돌프 바(Randolph Barr)는 AI 기반 사칭으로 인한 위험이 커지고 있다고 강조했다. "이것은 단순한 피싱이 아니라, 연구와 AI를 기반으로 한 표적 사칭이다." 그는 계층화된 보안 제어가 '인적 오류'만을 탓하는 것을 넘어, 이러한 정교한 공격을 실시간으로 탐지하고 차단해야 한다고 주장했다.

버그크라우드 보고서는 결론적으로, 증가하는 디지털 위협을 견디기 위해서는 집단 지성과 지속적인 공격 테스트가 필수라고 강조했다. AI 시대의 사이버 보안은 혼자만의 싸움이 아니다. 끝없이 진화하는 위협에 맞서기 위해, 모든 조직 구성원이 함께하는 새로운 형태의 방어 체계가 필요하다. 이 싸움은 지금부터 시작이다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기