사이버 범죄가 AI를 무기 삼아 새로운 국면으로 접어들고 있다. 'FraudGPT', 'WormGPT' 등으로 알려진 대형 언어 모델이 해커들의 도구로 전락하면서, 디지털 범죄가 과거보다 정교하고 체계적으로 진화하고 있다는 경고가 나왔다. 이에 대응해 보안 기업들은 '에이전틱 AI(agentic AI)' 기반의 자동화 솔루션과 고도화된 기만 전략을 전면에 내세우고 있다.
RSAC 2025 행사에서 포티넷(Fortinet)의 보안 전략가 데릭 맨키는 AI가 기반이 된 *사이버 범죄-as-a-service* 모델이 본격화되고 있다고 밝혔다. 단순 코드 해킹이 아닌, 다단계 정찰과 표적형 피싱 이메일 제작이 마치 구독 기반 서비스처럼 운영되고 있다는 것이다. 특히 SNS 분석을 기반으로 표적 정보를 도출하고, 최고재무관리자(CFO) 등 조직 핵심 인물 공략까지 전문화된 서비스가 암암리에 확산되고 있다고 경고했다.
공격자가 갈수록 정밀하고 상업적인 방식을 택하는 가운데, 방어 전략도 크게 달라지고 있다. 포티넷에 따르면, 사이버 방어팀은 생성형 AI로 위협 데이터를 요약·분류하고, 비정상 행위를 탐지하는 판별형 AI로 민첩하게 대응하기 시작했다. 여기에 보안운영센터(SOC)와 네트워크 운영센터(NOC) 간의 *통합 운영 체계*를 통해, 실시간 자동화와 조기 대응 역량이 한층 강화됐다.
사이버 공격 양상도 변화하고 있다. 범용적인 랜섬웨어보다는 제조업 등 매출 의존도가 높은 산업군을 노려 서비스를 마비시키고 손실을 극대화하는 방식이 늘고 있다는 분석이다. 장기적으로 데이터를 훔치는 것보다, 운영 중단으로 인한 직접적인 *수익 손실*을 유도하는 쪽으로 전략이 이동하고 있다는 점에서 주목된다.
한편 다크웹에서는 탈취된 인증 정보를 이용한 침투가 급증하는 추세다. 특히 '레드라인 스틸러(RedLine Stealer)' 같은 악성코드는 전체 정보탈취 활동의 60% 이상을 차지하며 42%에 달하는 다크웹 정보 게시물 급증을 이끌었다. 어렵지 않게 구입할 수 있는 이같은 악성도구들이 진입 장벽을 낮추고, *AI 기반 자동화*를 통한 로그인 정보 수집과 판매가 일상화되고 있다는 지적이다.
이에 따라 포티넷은 방어 전략의 핵심으로 '에이전틱 AI 기반 자동화'와 '쌍방향 허니팟' 등 첨단 기만 기술을 강조했다. 과거 단순 탐지 수준에 그쳤던 허니팟이 이제는 고도의 상호작용을 통해 침입자 유인을 넘어 트랩 역할을 수행하고 있다는 설명이다. 실제 환경이 아닌 가상 환경을 악용하는 공격자를 능동적으로 관찰·분석하고, 위협 정보를 실시간 수집할 수 있는 체제를 마련한 셈이다.
궁극적으로 사이버 보안 생태계는 이제 *단순 방어에서 지능형 억제 전략으로의 대전환* 국면에 접어들었다는 평가다. AI는 공격자와 방어자 모두의 무기가 됐고, 이 전장에서 우위를 점하는 것은 기술뿐 아니라 얼마나 빠르게 진화하는 위협에 유연하게 대응하는가에 달려 있다. 전문가들은 이제 보안 조직 내부의 운영 모델 역시 AI 중심으로 재편돼야 한다고 강조하고 있다.