;)
;)
AI 기술로 사이버 공격 자동화 가속…피싱 클릭률 4배 증가
이미지 확대보기
미국 주요 정보기관과 글로벌 보안 기업들은 인공지능 덕분에 해커들이 과거보다 훨씬 빠르고 정교하며 개인화된 공격을 감행할 수 있는 환경이 조성됐다며, “AI 해커의 속도는 인간 방어 체계를 초월하고 있다”고 지난 25일(현지시각) 악시오스가 전했다.
생성형 AI, ‘완전 자동화 해킹 시대’ 앞당겨
보도에 따르면 “AI 모델의 발전으로 사이버 범죄자들이 공격의 전 과정을 자동화할 기술을 확보하고 있다”고 전했다.
벌리스틱 벤처즈의 파트너이자 구글 클라우드(Google Cloud) 전 최고보안책임자였던 필 베너블스(Phil Venables)는 “이 변화는 확실히 올 것이다. 단지 3개월 후일지, 6개월 후일지, 12개월 후일지만 남았다”고 말했다.
OpenAI와 앤트로픽은 최근 자사 모델이 국가 단위 해커나 범죄조직에 의해 악성 코드 작성 및 공격 시뮬레이션 용도로 활용된 사례를 포착했다고 밝혔다. 구글의 위협정보팀(Google Threat Intelligence Group)도 해커들이 합법적인 AI 해킹 도구를 공격 설계에 이용하려는 정황을 확인했다고 악시오스에 전했다.
AI 피싱 공격 클릭률 54%…“실제 음성·영상 구분 불가”
AI로 생성된 피싱(Phishing) 공격의 위력은 이미 수치로 입증되고 있다. 마이크로소프트(Microsoft)가 최근 공개한 보고서에 따르면, AI가 작성한 피싱 이메일 클릭률은 54%로, AI를 쓰지 않은 피싱 메일(12%)보다 무려 4배 이상 높았다.
또한, 생성형 음성 복제 도구를 이용하면 가족이나 동료의 말투와 억양을 거의 완벽히 재현할 수 있어 신뢰를 악용한 금전 사기나 정보 탈취가 훨씬 쉬워진 것으로 나타났다.
싱가포르 난양공대 보안연구소의 사이버심리학자 라빈더 싱 교수는 “사용자들은 실제 통화나 영상통화조차 의심해야 할 수준”이라며 “AI가 만든 음성과 영상의 경계가 사실상 사라졌다”고 경고했다.
금융·인프라 공격 급증…“중국발 문자 사기 1조 넘어”
AI 기반 공격은 금융과 중요 인프라 부문을 중심으로 빠르게 확산 중이다. AI 사이버보안 기업 딥 인스팅트(Deep Instinct)가 발표한 ‘2025년 보이스 오브 섹옵스(Voice of SecOps)’ 보고서에 따르면, 주요 인프라 담당 보안 전문가의 50%가 지난 1년간 AI 공격을 경험한 것으로 나타났다.
같은 조사에서 금융 서비스 부문이 45%, 기술 컨설팅 분야가 44%, 제조·소매업은 각각 32%, 의료·공공기관은 29%로 뒤를 이었다.
또한, 미국 국토안보부(DHS)는 “중국 내 조직적인 사기 네트워크가 문자 메시지를 활용한 금융사기로 지난 3년간 약 10억 달러(약 1조 4300억 원) 이상의 이익을 챙겼다”고 밝혔다. 전문가들은 이런 공격이 단순 피싱을 넘어, 실제 음성·얼굴 복제와 전화번호 스푸핑(spoofing) 기능이 결합된 ‘하이브리드 공격’으로 진화하고 있다고 분석했다.
사이버보안 분야에서는 가족 간 ‘비상 암호어’를 정해 의심스러운 금전 요청이 들어올 때 신원을 확인하는 것이 유일한 방어책 중 하나로 거론된다. 더 이상 “낯선 번호를 받지 않으면 안전하다”는 전제가 통하지 않는 시대가 된 셈이다.
“AI 공격은 인간 속도 뛰어넘어…방어시간 거의 없다”
보안 전문가들은 AI가 사이버 공격의 ‘속도’와 ‘정확성’을 인간의 방어 체계가 따라잡지 못할 수준으로 끌어올리고 있다고 지적한다.
미국 국립표준기술연구소(NIST)의 사이버보안 담당자 에이미 윌손(Amy Wilson)은 “AI 해커들은 방대한 데이터 학습을 통해 네트워크 취약점을 자동 탐지하고, 공격 코드를 스스로 수정해 다시 시도할 수 있다”며 “이는 인간 보안팀이 대응할 시간을 거의 주지 않는다”고 말했다.
악시오스는 “AI를 활용한 사이버 공격은 공장 가동 중단, 병원 의료체계 마비, 전력망 통제 등 실물경제 전체에 직접 피해를 줄 수 있다”며 “누군가 이상을 감지하기도 전에 이미 시스템이 장악될 위험이 있다”고 경고했다.
박정한 글로벌이코노믹 기자 park@g-enews.com
