인공지능(AI) 시대에 접어들면서 해커들의 수법이 날로 교묘해지고 있다. 최근에는 비전문가가 AI의 도움을 받아 사이버 공격을 시도한 사례까지 속속 등장하고 있다. 반면 국내 보안 의식과 역량은 낮은 수준에 머물러 있다. 이에 한국의 AI 3대 강국(G3) 도약이 좌초될 수 있다는 우려마저 나오는 실정이다. ‘사이버 보안청(가칭)’과 같은 국가 차원의 보안 컨트롤타워를 새롭게 구축해야 한다는 주장에 힘이 실리는 이유다.
28일 보안 업계에 따르면 영국 사이버 보안 기업 다크트레이스의 2025년 AI 사이버 보안 동향 보고서에 따르면 전 세계 14개국 보안 전문가 1500명을 대상으로 설문 조사한 결과 88.3%가 AI 기반 사이버 위협이 지속적으로 조직에 상당한 영향을 미칠 것이라고 응답했다. 73.6%는 이미 조직에 상당한 영향을 미치고 있다고 봤다. AI 기반 해킹이 일시적 현상이 아니라 사이버 공격 구조가 변화할 것이라고 보는 것이다.
실제 해커들은 이미 피싱용 콘텐츠 제작에 AI를 악용하고 있다. 생성형 AI를 기반으로 피싱 메일이나 문자 등의 자연스러운 문구나 사진이나 위조 음성 등을 만들어낸다. 보안 전문 기업 지니언스(263860)의 시큐리티센터(GSC)의 보고서에 따르면 올해 7월 북한이 배후로 추정되는 ‘김수키’ 그룹이 AI로 합성한 이미지를 활용해 군 관계기관에 스피어 피싱을 시도했다. 지니언스 시큐리티센터는 “AI 서비스는 업무 생산성을 높이는 강력한 도구이지만 동시에 국가 안보 차원의 사이버 위협에 악용될 수 있는 잠재적 위험 요소”라고 말했다.
기술적 지식 없이도 사이버 공격을 시도하는 ‘바이브 해킹’도 등장했다. 해커들은 보안 취약점을 정밀하게 공략하는 데도 AI를 악용하고 있다. 자율적 실행 능력이 고도화되면서 해킹 AI 에이전트까지 확산할 것이라는 우려도 나온다. 앤트로픽이 지난달 공개한 위협 인텔리전스 보고서에 따르면 앤트로픽의 AI 기술은 해커에 의해 최소 17개 기관을 대상으로 한 대규모 사이버 범죄에 악용됐다. 해커는 앤트로픽의 에이전틱 코딩 도구를 이용해 정부와 의료, 긴급 서비스, 종교 기관 등에서 데이터를 빼내 갔다. 이 과정에서 의료 데이터와 금융 정보 등 민감한 기록들이 유출됐다. 앤트로픽은 클로드가 북한과 중국에서도 악용됐다고 설명했다. 에스투더블유(488280)(S2W)는 “명확한 코딩 지식 없이도 LLM 기반 AI에게 모호한 명령만으로 악성 코드를 생성하게 하거나 보안 우회 코드를 작성하도록 유도하는 방식인 ‘바이브해킹’이 시도되고 있다”며 “생성형 AI의 자동화 기능으로 인해 초보자도 손쉽게 공격을 실행할 수 있는 환경이 마련되고 있다”고 경고했다.
AI의 고도화로 사이버 공격 기술도 발전하면서 해킹 시도가 빈번해지고 있다. 과학기술정보통신부와 한국인터넷진흥원, 국가정보원, 안랩(053800), SK쉴더스, 팔로알토네트웍스 등은 올해 AI를 악용한 사이버 공격이 심화할 것으로 분석했다. 해커들은 피싱용 콘텐츠 제작에 AI를 악용하고 있다. 생성형 AI를 기반으로 피싱 메일이나 문자 등의 자연스러운 문구나 사진이나 위조 음성 등을 만들어낸다. 보안 전문기업 지니언스의 시큐리티 센터(GSC)의 보고서에 따르면 올해 7월 북한 배후 추정 ‘김수키’ 그룹이 AI로 합성한 이미지를 활용해 군 관계 기관에 스피어 피싱을 시도했다. 지니언스 시큐리티 센터는 “AI 서비스는 업무 생산성을 높이는 강력한 도구이지만 동시에 국가 안보 차원의 사이버 위협에 악용될 수 있는 잠재적 위험 요소”라고 말했다. 박현우 라온시큐어(042510) 상무는 "39초마다 1건의 AI 기반 사이버 공격이 발생하고 있다"고 설명했다.
사이버 공격에 대응하지 못할 경우 한국의 AI 발전 속도도 저해될 것이라는 우려가 나온다. 뛰어난 AI가 개발되더라도 안전하게 운영하지 못한다면 정부나 기업이 도입을 꺼릴 수밖에 없기 때문이다.
이 때문에 세계 각국은 범정부 보안 역량 강화에 집중하고 있다. 미국은 국토안보부 산하 사이버·인프라보안국(CISA), 영국은 국가사이버보안센터(NCSC), 일본도 7월 신설된 총리 직속 국가사이버통괄실이 컨트롤타워를 맡고 있다. 한국은 윤석열 정부 시절부터 대통령실 국가안보실이 국가 사이버 안보 업무 전반을 조율하는 컨트롤타워 역할을 하고 있지만 실질적인 조율 능력이 크게 부족하다는 지적이 나온다. 심지어 이재명 정부 들어 국가안보실 사이버안보비서관과 실무 주관 기관인 국정원 3차장은 새 정부 출범 이후 두 달 이상 비어 있었다.
일선 대응 체계 역시 칸막이로 나뉘어져 있다. 현재 정보 보호는 국가정보원이 공공 분야를, 국방부 사이버작전사령부가 국방 분야를, 과학기술정보통신부와 한국인터넷진흥원이 일반 기업 등 민간 분야를, 금융위원회와 금융보안원이 금융 분야를 전담하고 있다.
다시 말해 SK텔레콤 유심 해킹이나 KT(030200) 소액 결제 및 서버 침해, 온라인 서점 예스24(053280)나 티파니 등 럭셔리 브랜드 고객 정보 유출 사고는 과기정통부가 대응한다. 롯데카드·SGI서울보증·웰컴금융그룹에서 발생한 해킹 사고는 금융위 소관이다. 20일 KT와 롯데카드 해킹 사고 정부 브리핑이 과기정통부와 금융위 합동으로 진행되기는 했지만 현장 사건 경위 설명과 질의응답 등이 각각 진행된 이유도 여기에 있다. 특히 KT 무단 결제 사건의 경우 금전 피해가 발생했음에도 금융위가 이 지점에 개입하지 못하는 모습을 보였다. AI까지 장착해 고도화된 수법으로 여러 산업 영역을 넘나드는 해킹이 점점 늘고 있지만 사건 경위 파악에 혼선을 빚거나 신속한 대응을 하지 못하는 상황이 종종 발생하는 이유다. 해킹 사고를 당한 한 기업 관계자는 “사고 대응으로 경황이 없는 가운데 감독 및 지시를 받거나 실시간 보고 라인이 헷갈려 더 어려웠던 적이 있다”고 말했다.
이에 민간은 물론 정계·학계에서는 새로운 보안 컨트롤타워를 서둘러 마련해야 한다고 목소리를 높인다. 국내 보안 기업 씨큐비스타는 ‘2025 대한민국 사이버 보안 사고 분석 보고서’를 통해 “사이버 위기 대응의 중심이 될 ‘사이버 보안청’의 독립 설립이 필요하다”고 진단했다. 유용원 국민의힘 의원은 올해 7월 대통령 직속 사이버 안보 컨트롤타워를 구축하는 내용의 국가사이버안보법을 발의하기도 했다. 이해민 조국혁신당 의원도 “독립성과 전문성을 갖춘 민간 전문가 중심의 사이버 보안 컨트롤타워를 시급히 신설해야 한다”고 밝힌 바 있다. 황석진 동국대 국제정보보호대학원 교수는 “보안청 같은 컨트롤타워를 세워 종합적인 보안 정책을 마련해야 한다”고 말했다.
이재명 대통령은 이달 4월 서울 용산 대통령실에서 주재한 수석보좌관회의에서 “최근 통신사, 금융사에서 해킹 사고가 잇따르고 있어 국민이 매우 불안해하신다”며 “문제는 이처럼 사고가 빈발하는데도 대응이 또 대비 대책이 매우 허술하다는 것”이라고 지적했다. 이 대통령은 “개인정보 보호를 위한 보안 투자를 불필요한 비용으로 간주하는 잘못된 인식이 이런 사태의 배경은 아닌지 한번 되짚어봐야겠다”고 전했다. 이어 관계 당국을 향해 “혹여 숨겨진 추가 피해가 없는지 선제적 조사를 적극적으로 검토하고, 기업의 보안 역량 강화를 위한 제도 개선에도 힘써주길 바란다”고 주문했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
kim@sedaily.com
