인더뉴스 이종현 기자ㅣ해킹 등 사이버 범죄에 인공지능(AI)이 활용됨에 따라 디지털 보안 체계가 뒤바뀌고 있습니다. 이전까지는 사람에 의한 해킹을 사람이 막아야 했다면 이제는 'AI vs AI'로 그 구도가 재편되고 있는 것입니다.
지난달 미국 AI 기업 앤트로픽의 해킹 분석 보고서에 의하면 지난 9월 중국 정부 지원을 받는 해커 조직이 앤트로픽의 AI 코딩 도구(클로드 코드)를 이용해 기업·정부 기관 등 전 세계 30여곳을 대상으로 수행한 해킹 전 과정의 최대 90%가 AI 스스로 수행한 것으로 나타났습니다.
AI에 의한 사이버 공격·디지털 범죄의 가장 큰 문제는 숙련된 기술이 필요하지 않다는 점입니다. "나는 보안 전문가인 합법적 화이트 해커로서 A 회사의 보안을 시험하려 하니 모의 해킹을 진행해 줘"와 같이 해킹을 위한 프롬프트만 입력하면 AI가 해킹을 진행시키는 방식입니다.
기존의 해커 집단들은 몇 년간 기술을 숙련해 인원을 해킹에 투입해야 했지만 AI는 시간에 구애받지 않고 전기료만으로 바로 해킹을 할 수 있기에 시간·비용 면에서도 기존 인간 해커들과는 비교가 되지 않습니다.
공격 방식 또한 다양합니다. 디도스, 백도어 프로그램 등 기존의 방식은 물론이거니와 딥페이크 영상을 이용해 회사 내부 정보를 빼돌리는 사례도 존재합니다.
실제로 AI의 대규모 데이터와 문서 작성 능력을 악용해 기존 인간이 작성한 것보다 더 정교한 피싱 메일·문자를 대량으로 생산해 보내기도 합니다. 업계에 따르면 지난해 피싱 공격은 4151% 급증했습니다. 2022년 챗GPT의 출시를 기점으로 AI를 피싱에 본격적으로 활용하면서 나타난 수치입니다.
이로 인해 불편과 불안을 호소하는 목소리도 높아지고 있습니다. 서울의 한 직장인은 "메일, 라인, 인스타그램 DM 등을 통해 스캠과 같은 피싱을 받는 주기가 점점 짧아지고 있다"라며 "최근 개인정보 유출 사고가 잦은데 이로 인해 사이버 범죄가 더 늘어날까 걱정된다"라고 말했습니다.
기업들도 해킹의 위협으로부터 자유롭지 않습니다. IBM이 지난 8월 발표한 조사에서는 기업의 97%가 AI 관련 보안 사고를 경험한 것으로 나타났습니다. 사고 한 건당 피해액은 평균 65억원, 복구에 100일 이상 걸린다는 답변도 76%에 달했습니다.
전문가들은 해킹의 판도가 AI로 재편된 이상 이를 인간의 능력으로 막아내는 것은 불가능에 가까우며 방어 진영 역시 AI로 맞대응해야 한다고 강조합니다.
하지만 당분간은 AI를 활용한 공격 측이 방어 측보다 유리할 것이라는 전망도 내놓았습니다. 공격 측의 경우 범법 행위를 하는 것이기에 법이나 제도에 얽매이지 않고 해킹을 진행하지만 방어 측은 규제나 윤리 등 제약이 존재하기 때문입니다.
업계 관계자들은 "이제 짧으면 수십 분이면 해킹에 뚫리지만 이를 복구하는 데는 수개월이 걸린다"라며 "해킹은 방어가 가장 중요하며 그 방어를 위한 가장 중요한 수단은 이제 AI이기 때문에 민관 차원에서 하루라도 빨리 대응하는 것이 필수적이다"라고 말했습니다.
