보안사고, AI가 아닌 인간의 문제다!

AI가 증가시킨 개인정보, 보안 사고

2023년 이후 보안 사고는 양적으로나 질적으로 급증했다. 미국과 유럽에서는 피싱 공격으로 인해 금융기관은 물론 공공기관 직원 계정이 탈취되었고 아시아에서는 전자상거래와 플랫폼 기업 대상의 랜섬웨어 공격이 반복적으로 발생해 수일간 서비스가 마비되기도 했다. 한국에서도 통신사와 유통 그리고 플랫폼, 콘텐츠 기업과 공공기관을 가리지 않고 개인정보 유출과 해킹 사건이 연이어 발생해 사회적 파장이 커졌다. 이런 피해는 단순한 금전 손실을 넘어 브랜드 신뢰 하락과 이용자 이탈이라는 장기적 손실은 물론 국가 차원의 안보에 위협이 되기도 한다.

이렇게 최근들어 해킹과 개인정보 침탈 사고가 늘어난 가장 큰 이유는 바로 생성형 AI로 인한 것이다. ChatGPT는 문서나 이미지 생성, 소프트웨어 코딩 등에만 도움을 주는 것이 아니라 WormGPT, FraudGPT와 같은 LLM 기반 해킹 도구로 해킹을 보다 강력하고 쉽게 할 수 있도록 해주기도 한다. 한마디로 AI가 개인정보 침탈과 해킹을 돕는 것이다. 이는 원래 해킹을 하던 전문 해커들이 보다 강력하고 빠르게 해킹을 할 수 있도록 돕고, 일반인도 누구나 쉽게 해킹을 할 수 있도록 해준다. 그로 인해 해킹은 더 쉽고 빨라졌고 공격자는 더 많아졌다. 과거에는 고급 기술을 가진 소수의 해커만 가능했던 공격이 이제는 구독형 서비스 형태로 제공되며 사실상 누구나 접근할 수 있는 환경이 되었다. 피싱 메시지 작성 시간은 수 시간에서 수 분 단위로 줄었고 내부 네트워크 침투 후 권한 상승과 데이터 탈취까지 걸리는 시간도 급격히 단축되었다. 딥페이크 기반 음성·영상 사기, 실제 인물의 말투와 행동을 모방한 사회공학 공격은 기존 보안 체계로는 탐지 자체가 쉽지 않다.

이처럼 AI로 인한 보안 사고는 크게 2가지가 기존 해킹 사고와 큰 차이가 있다. 첫째는 시스템보다 사람을 공격 대상으로 한다는 점이다. AI 기반의 딥페이크 음성으로 상급자의 지시를 가장해 송금을 유도하거나 실제 거래 관계와 맥락을 정확히 반영한 이메일로 직원의 경계를 무너뜨리는 공격은 기술적 취약점보다 인간의 신뢰 구조를 노린다. 이는 보안 사고가 더 이상 IT 부서의 문제가 아니라 조직 문화와 의사결정 체계의 문제임을 의미한다. 보안을 비용이나 규제로만 인식하는 조직에서는 구성원이 의심하기보다 지시에 따르도록 훈련되어 있고 그 순간 AI 기반 공격은 가장 효율적인 무기가 된다.