KT의 무단 소액결제 사건과 롯데카드의 대규모 해킹 사고가 연이어 발생하면서, 사이버 보안에 대한 사회적 우려가 크게 확산되고 있다. 여기에 더해 인공지능 기술이 해커들의 정교한 공격 수단으로 변모하면서, AI 활용 보안 위협도 새로운 과제로 부상하고 있다.

최근 사이버 공격의 특징은 기술적 정교함과 사회공학적 기법의 결합이다. 생성형 인공지능(AI)이 사람처럼 자연스러운 언어와 목소리를 구현할 수 있게 되면서, 기존에는 비교적 쉽게 구별되던 피싱 메일이나 보이스피싱이 실제 업무와 사적 소통을 모방하는 수준으로 진화하고 있다. 미국의 보안업체 프루프포인트와 체크포인트는 보고서를 통해 AI 기반 피싱 메일이 단기간 내 대량 생산 가능하고, 보안 시스템을 회피할 확률도 현저히 높다고 경고했다.

특히 ‘스피어 피싱’으로 불리는 표적형 공격 방식은 더욱 진화했다. 해커가 기업 내부 직원의 이름과 직위, 업무 내용을 미끼로 삼아 이메일을 보내면, 수신자는 실제로 자신이 아는 이가 보낸 메일로 착각할 가능성이 크다. 예컨대 “김영철 부장님, 지난주 논의하신 보고서를 보내드립니다”라는 문구와 함께 링크가 삽입된 메일이 전달되면, 링크 클릭을 유도하기가 훨씬 쉬워진다. 일반 직원 입장에서는 이처럼 정교해진 위협을 직관적으로 식별하기 어렵다는 게 업계의 공통된 지적이다.

음성까지 모방 가능한 ‘AI 보이스피싱’도 현실이 됐다. 몇 초 분량의 음성 샘플만 있어도 특정인의 말을 흉내 내는 기술이 상용화됐고, 실제로 2019년 영국에서는 에너지 기업의 직원이, 사장의 목소리를 복제한 합성 음성에 속아 거액을 송금한 사건이 있었다. 이는 단순한 기술 문제가 아니라 금융 안전과 직결되는 사회적 사안으로, 국내에서는 금융당국과 경찰도 음성 사기 관련 주의를 본격적으로 촉구하고 있다.

이러한 해킹 기법은 더 이상 개인이나 범죄조직 차원을 넘어서, 국제 해커 커뮤니티에서도 공유되고 있다. 다크웹에서는 이미 생성형 AI를 범죄에 이용하는 다양한 도구들이 거래 중이며, 일부 포럼에서는 ‘AI 해킹 가이드북’까지 유통되고 있는 것으로 전해졌다. 악성 프로그램의 자동 생성 코드부터 보안 탐지를 피하는 프롬프트 설계 기술까지 다양하게 활용되고 있는 상황이다.

방어 역시 AI가 중심이 되고 있다. 일부 글로벌 보안기업은 이미 인공지능 기반 탐지 시스템을 상용화했고, 이는 기존 패턴 방식과 달리 스스로 학습해 새로운 위협에도 대응할 수 있는 구조다. 국내에서도 통신사와 금융기관을 중심으로 AI 보안 솔루션 도입이 확산되고 있지만, 중소기업과 공공기관 등까지 범위를 넓히기 위해선 정부 차원의 추가 지원도 필요하다는 지적이다.

이처럼 인공지능은 한편으로는 업무 효율과 창의성을 높이는 혁신 기술이지만, 동시에 해커의 손에 쥐어지면 사회 전반을 위협하는 양날의 검이 된다. 최근 기업들의 연쇄 보안 사고가 보여주듯, 보안이 뚫리면 개인의 피해를 넘어 사회적 신뢰가 훼손되고 경제적 타격으로 이어질 수 있다. 앞으로는 기술적인 방어체계를 강화함과 동시에, 기업과 개인의 보안 인식 수준을 함께 높이는 것이 사이버 안전을 지키기 위한 근본적인 대응이 될 것으로 보인다.