AI 기반 공격, 지난해 대비 2~3배 급증하며 기업 속수무책
보안 전담 인력 부족·예산 한계…탐지·대응 역량 턱없이 부족
금전 손실·고객 신뢰 하락·운영 중단까지 확산되는 실질 피해
AI 기술이 사이버 공격에 본격 활용되면서 국내 기업들이 심각한 보안 위기에 직면했다. 공격은 갈수록 정교해지고 있지만 이를 막아낼 기업의 역량은 턱없이 부족한 것으로 나타났다. 특히 보안 전담 인력이 극도로 부족한 상황에서 AI 기반 공격이 2~3배씩 급증하면서 기업들은 속수무책으로 당하고 있다.
보안 기업 포티넷이 분석 컨설팅 기관 IDC에 의뢰해 올해 2월부터 4월까지 아시아·태평양 11개 시장에서 직원 250명 이상 조직의 IT 및 보안 책임자 550명을 대상으로 실시한 조사 결과 국내 기업 약 70%가 지난 1년간 AI 기반 사이버 위협을 경험한 것으로 집계됐다. 더 심각한 것은 위협의 증가 속도다. 피해를 입은 기업 중 62%는 위협이 2배, 30%는 3배 증가했다고 답했다. 공격자들이 AI를 활용해 더욱 은밀하고 신속하게 대규모로 공격을 전개하면서 방어 측의 부담이 기하급수적으로 커지고 있다.
AI를 활용한 공격 유형도 다양해지고 있다. 딥페이크 기술로 임원을 사칭하거나 자신의 코드를 계속 변형해 보안 프로그램의 탐지를 피하는 다형성 악성코드, AI로 제로데이 취약점을 자동으로 찾아 무기화하는 공격, 유출된 계정 정보를 재활용해 다른 사이트에 무작위로 침투하는 크리덴셜 스터핑, 학습 데이터를 오염시켜 AI 시스템 자체를 망가뜨리는 공격까지 등장했다. 문제는 이런 공격들이 기존 보안 시스템으로는 탐지조차 어렵다는 점이다.
최근 한국을 찾은 스티브 빈츠 테너블 공동 최고경영자(CEO)와 개빈 밀러드 인텔리전스 부문 부사장은 “기업들은 생산성을 높이기 위해 AI를 거의 모든 영역에 도입하고 있지만 이는 기존 보안 시스템이 감당하기 어려울 정도로 ‘공격 표면’을 빠르게 확장시키고 있다”고 경고했다. 밀러드 테너블 부사장은 “테너블은 이달 챗GPT의 새로운 취약점 7개를 찾아 발표하고 오픈AI에도 공개한 바 있다”며 프롬프트를 활용해 잘못된 답변을 유도하는 등 생성형 AI 서비스 자체도 여전히 약점들이 있다고 지적했다. 빈츠 CEO는 “한국은 정부·산업 등 여러 분야에서 디지털화를 하며 디지털 발자국이 계속 증가하고 있기 때문에 신규 시스템을 도입할 때마다 새로운 취약점이 생긴다”며 “한국 기업들은 사이버 보안을 비즈니스 리스크로 인식해야 한다”고 강조했다.
실제로 AI 위협을 완벽하게 방어할 자신이 있다고 답한 국내 조직은 13%에 불과했다. 오히려 40%는 AI 위협의 확산 속도를 탐지 능력이 따라가지 못하거나 아예 추적이 어렵다고 토로했다. 공격은 AI로 자동화되고 고도화되는데 방어는 여전히 사람에 의존하는 비대칭 구조가 고착화되고 있는 셈이다.
피해 규모도 심각하다. 응답자 64%가 운영 중단을 경험했고 60%는 규제 위반, 54%는 데이터 유출 및 프라이버시 침해, 50%는 고객 신뢰 손상을 겪었다. 또 68%가 금전적 피해를 입었으며 이 중 34%는 피해액이 50만 달러를 넘었다. 데이터 보안 전문기업 코헤시티의 조사에서는 국내 응답 기업의 72%가 실질적인 피해를 경험했으며 국내 상장사의 58%는 공격 이후 실적 전망이나 재무 가이던스를 수정해야 했고 같은 비율로 주가 하락을 겪었다. 비상장사의 74%는 혁신과 성장에 쓸 예산을 삭감해 복구 비용에 돌려야 했다.
산제이 푸넨 코헤시티 사장 겸 최고경영자(CEO)는 “이번 조사 결과는 사이버 공격은 이제 조직의 모든 요소에 영향을 미치며 공격의 여파는 기술적으로 복구 가능한 수준 이상의 피해를 입히고 있음을 보여준다”며 “이제 기업은 이러한 공격으로 인해 실적 전망을 재고하고 시장 반응을 반영하거나 예산을 재조정해야 하는 상황인 만큼 사이버 레질리언스는 사업 및 재무 성과의 필수 요소가 됐다”고 밝혔다.
이런 상황에서 국내 기업의 보안 인력 현황은 여력이 없는 수준이다. 평균적으로 전체 직원의 7%만이 IT 담당자며 이 중 사이버 보안 전담 비율은 13%에 불과했다. 계산하면 직원 100명당 보안 전담 인력이 1명도 안 되는 셈이다. 독립된 최고정보보호책임자(CISO)를 둔 조직은 15%에 그쳤고 대부분은 IT 업무와 보안 업무를 겸임하고 있었다. 위협 헌팅이나 보안 운영을 전담하는 전문 팀을 갖춘 곳은 6%에 불과했다. 급증하는 AI 공격에 대응할 전문 인력이 절대적으로 부족한 것이다.
국내 조직은 IT 예산의 평균 15%를 보안에 배정하는데 이는 매출의 1.4% 수준으로 예산 상황도 녹록지 않다. 74%가 예산을 늘렸다고 답했지만 대부분 5% 미만 증가에 그쳐 여전히 보수적이다. 투자 우선순위는 기존 인프라 중심에서 신원·네트워크 보안, SASE·제로 트러스트, 사이버 회복력, 클라우드 네이티브 애플리케이션 보호로 이동 중이지만 전반적인 투자 규모 자체가 위협 수준을 따라가지 못하고 있다.
AI 공격 외에도 기업들이 직면한 위협은 다양하다. 국내에서 가장 많이 보고된 위협은 피싱, 소프트웨어 공급망 공격, 랜섬웨어, 서비스 거부 공격, 클라우드 취약점 순이었다. 가장 빠르게 증가하며 파괴력이 큰 위협으로는 클라우드 취약점과 설정 오류, 사물인터넷과 운영기술 공격, 패치 미적용 및 제로데이, 내부자 위협이 꼽혔다. 실제로 최근 6년간 기업이 당국에 신고한 사이버 침해 사고는 7198건에 달했으며 2020년 603건에서 2024년 1887건으로 3배 이상 급증했다. 올해는 9월까지만 1649건이 접수돼 작년 전체 건수에 육박했다.
역설적이게도 AI는 위협인 동시에 해결책이기도 하다. 국내 응답자의 86%는 생성형 AI의 발전 속도가 자사 리스크 대응 능력을 앞지르고 있어 우려된다고 답했다. 동시에 대부분의 기업은 AI가 탐지, 대응, 복구 능력을 개선하는 데 상당한 잠재력을 가지고 있다고 인식하고 있다. 제대로 활용하면 공격을 선제적으로 예측하고 자동으로 방어할 수 있다는 것이다. 체리 펑 포티넷 북아시아 총괄 대표는 “사이버 보안의 핵심 과제는 점점 복잡해지는 위협 환경에 대응하는 것”이라며 “AI는 새로운 위협이자 동시에 대응 수단이 됐다”고 설명했다.
전문가들은 기업들이 내부에서 어떤 AI가 사용되고 있는지 각 AI가 어떤 데이터에 접근하며 권한은 어떻게 되는지 명확히 파악하는 가시성 확보가 시급하다고 조언한다. 또 기존의 사후 대응 방식에서 벗어나 공격 위협을 선제적으로 예측하고 방어하는 패러다임으로 전환해야 한다고 강조한다. 사이버 공격은 더 이상 IT 부서만의 문제가 아니라 기업의 재무 건전성과 시장 경쟁력을 좌우하는 핵심 경영 이슈가 됐다. 코헤시티의 국내 응답자 중 49%는 자사의 사이버 회복력 전략이 더 이상 개선이 필요 없는 수준이라고 답했지만 실제로는 여전히 심각한 피해가 발생하고 있다. 예방과 탐지를 넘어 신속한 복구와 신뢰 회복 능력을 갖추는 것이 생존의 조건이 된 시대다.