“매일 쓰는 필수품인데 난감하네”…사이버공격 90%는 ‘여기’서 뚫린다

SK쉴더스 화이트해커그룹 분석
‘이메일 피싱’에 특히 더 취약해
사이버공격 피해 제조업이 최다
AI로 만든 피싱사이트 크게 늘어

SK쉴더스 사이버보안 관제센터 시큐디움 센터.

디지털 전환이 가속화하며 사이버 위협이 일상 속으로 깊이 침투하고 있다. 특히 메가트렌드로 떠오른 생성형 인공지능(AI)이 일상생활 전반에 적용되며 사이버 공격도 AI를 활용해 개인을 타깃으로 하는 추세다.

11일 보안기업 SK쉴더스의 화이트해커 그룹 이큐스트(EQST)에 따르면 지난해 업종별 침해사고 발생 통계에서 ‘개인’이 차지하는 비중이 17%로 제조업(20%)에 이어 두 번째를 차지했다.

AI를 악용한 사이버 공격의 대표 사례로는 피싱(Phishing) 공격이 꼽혔다. 피싱 공격은 전통적인 사이버 공격의 유형 중 하나로 이메일, 메시지, 소셜네트워크서비스(SNS) 등을 이용해 믿을 만한 사람이나 기업이 보낸 메시지처럼 가장한 뒤 악성 URL이나 피싱 사이트로 유도하게끔 하는 수법이다.

SK쉴더스 관계자는 “피싱 공격은 손쉽게 개인정보와 민감정보를 탈취할 수 있어 해커가 주로 사용하는 방식 중 하나”라며 “미국 사이버보안국(CISA)은 성공적인 사이버 공격의 90%가 이메일 피싱에서 시작한 것으로 추정된다고 밝힌 바 있다”고 설명했다.

이러한 피싱 공격은 AI를 만나 더욱 더 활개를 치고 있다. 최근 웜 GPT(Worm GPT)나 프러드(Fraud) GPT 같은 악성 피싱 메일을 작성해주는 범죄 맞춤형 생성형 AI가 등장했기 때문이다. 사이버 공격에 관한 전문지식과 특정 언어에 능통하지 않더라도 생성형 AI를 활용해 정교한 비즈니스 이메일을 작성할 수 있게 됐다.

AI를 악용한 사이버 공격에 대비하기 위해 SK쉴더스 이큐스트에서는 사용자와 기업 측면에서 안전한 AI 활용 방안과 대응 전략을 공유했다. 이큐스트 관계자는 “사용자는 AI 서비스 목적을 인지하고 악의적인 목적으로 사용하지 않도록 유의해야 한다”며 “AI 서비스가 생성한 결과물에 대해서는 복수의 출처에서 사실을 확인하고 활용해야 한다”고 조언했다. 또 편향된 정보를 내재할 수 있으므로 주의하며, AI 서비스가 갖고 있는 한계에 대한 인식이 필요하다는 설명이다.

기업은 AI 서비스를 활용할 시 보안 인프라를 구축해 운영하며 주기적인 보안 점검을 통해 취약점을 점검해야 한다. 신뢰 가능한 출처를 이용하며 발생할 수 있는 위협 방지를 위해 주기적인 보안 업데이트가 요구된다. AI 서비스에 대한 관리 절차를 수립하고, 기업 내부정보를 입력하지 않도록 구성원 대상의 보안교육도 이뤄져야 한다.

이재우 SK쉴더스 이큐스트그룹장은 “AI를 악용한 공격이 급증함에 따라 보안의식을 제고하고, 디지털 정보를 이해하고 활용할 수 있는 능력인 디지털 리터러시 교육이 필요하다”고 강조했다. 이 그룹장은이어 “피싱과 딥페이크 공격은 개인 상황과 심리를 이용한 범죄수법을 사용하고 있으므로 보안수칙을 준수하고 전문적인 대응 전략을 수립해야 한다”고 덧붙였다.