AI 피싱까지 등장… 인증 피로도 속 '연속 인증'이 해법될까

최근 사이버 보안 위협이 갈수록 지능화되면서, 사용자 인증 방식에 대한 혼란이 커지고 있다. 이른바 ‘인증 피로도(authentication fatigue)’라는 현상이 확산되는 가운데, 2024년 한 해 동안만 미국 연방거래위원회(FTC)에 보고된 신원 도용 사례는 110만 건을 넘어서며 기록적인 수치를 나타냈다. 특히 문자, 이메일, 전화 등을 활용한 피싱 시도가 증가하고 있으며 여기에 생성을 자동화하는 AI 기술까지 결합되면서 사용자 보호 지형이 한층 복잡해지고 있다는 분석이다.

기업 입장에서는 보안을 강화하고자 여러 인증 방식을 도입하면서도, 고객 경험을 해치지 않는 세심한 균형 감각이 요구되고 있다. 만약 사용자가 CAPTCHA 반복 입력을 강요받거나 로그인 절차에서 과도한 마찰을 겪을 경우, 그들은 주저 없이 경쟁 서비스로 이탈한다. 실제로 비즈니스 전략 수립에 있어 40% 이상의 기업이 보안과 사용자 경험 사이의 균형을 가장 큰 도전 과제로 꼽고 있다.

보안 당국과 기술 업계는 인증 방식의 근본적인 재설계를 요구받고 있다. 장기적으로는 초기 로그인 이후 지속적으로 리스크를 분석해 인증 강도를 조절하는 ‘연속적 인증 방식(continuous authentication)’이 핵심 대안으로 주목받고 있다. 예를 들어, 신뢰할 수 있는 기기와 지역에서 활동하는 사용자는 보다 간편하게 서비스를 이용할 수 있도록 하되, 갑작스러운 위치 변경이나 비정상적인 행동이 감지되면 인증 수준을 자동으로 높이는 식이다. 이 같은 ‘신호 기반 접근법(signal-driven approach)’은 안전성과 사용자 편의를 동시에 달성할 수 있는 방법으로 평가된다.

하지만 이 역시 인공지능의 부상과 함께 새로운 과제를 낳고 있다. 과거엔 봇 탐지 시스템이 다중 클릭 등 물리적 속성에 의존해 인간과 로봇을 구분했지만, 자연어 처리나 사용자 행동을 모방하는 AI 도구가 보편화되면서 기존 방법론이 위협받고 있다. 예컨대 AI 어시스턴트가 사용자를 대신해 식당 예약이나 물품 구매를 진행하는 경우, 합법적 행위와 악성 공격 간의 경계를 구분하기가 한층 어려워지고 있는 상황이다.

더욱 심각한 문제는 인증 기술이 끊임없이 진화하는 사이, 사용자들은 여전히 구식 패스워드에 의존하는 경향이 상당하다는 점이다. 새로운 인증 솔루션이 아무리 안전하더라도, 사용자에게 직관적이고 편리하지 않다면 확산되기 어렵다는 것이 업계의 공통된 우려다. 때문에 SSO(싱글 사인온), MFA(다중 인증), 생체 인식 그리고 디지털 신원 지갑까지 다양한 옵션을 마련해 고객의 행동 특성과 기술 수용도를 반영한 맞춤형 경험을 제공하는 것이 필수 과제로 부상하고 있다.

결국 인증 방식은 단일 솔루션을 고집하는 ‘또는(or)’의 논리가 아니라, 다양한 방식을 조합해 사용하는 ‘그리고(and)’ 전략이 돼야 한다는 것이 전문가들의 중론이다. 고객이 처한 맥락에 맞춰 적절한 인증 강도를 설정하고, 각종 피싱이나 소셜 엔지니어링 공격으로부터 루트 기술의 취약점을 사전에 막는 전방위적 설계가 이뤄져야 한다. 번거롭지 않으면서도 싸이러 위협에 효과적으로 대응할 수 있는 인증 시스템만이, 지금처럼 변동성이 큰 디지털 환경에서 고객의 신뢰와 비즈니스 지속 가능성을 동시에 확보할 수 있다.