보안에서 인적 위험은 내부 직원의 실수, 권한 남용, 또는 악의적인 행위로 인해 심각한 영향을 미친다. 특히 피싱, 약한 비밀번호 관리, 소셜 엔지니어링 공격 등은 기업의 데이터 유출, 시스템 손상, 금전적 손실로 이어질 수 있다.

특히 AI가 생성한 콘텐츠는 보안에서 새로운 인적 위험 요인을 제공한다. 악의적인 행위자는 AI로 생성된 피싱 이메일, 음성 클로닝, 가짜 뉴스 등을 이용해 사용자를 속이고, 인증 체계를 우회하며 민감 정보를 탈취할 수 있다. 특히 정교한 언어와 현실적인 콘텐츠로 피해자의 경계를 허물어 기업과 개인에게 심각한 피해를 줄 수 있다.

래스트패스(LastPass) 2024년 설문조사에 따르면 사이버 보안 전문가의 95% 이상이 AI가 생성한 콘텐츠가 피싱 탐지를 더욱 어렵게 만든다고 생각하고 있다. 악의적인 공격자의 손에 들어간 이러한 기술 발전은 획일적인 보안 인식 교육으로는 대응하기 어려운 새로운 유형의 매우 강력한 소셜 엔지니어링 공격을 감행했다.

보안 정책과 기술적 방어가 아무리 강력해도 인간의 실수나 의도적 행위는 이를 무력화할 수 있어, 보안 교육과 지속적인 모니터링이 중요하다. AI 악용 공격을 방지하려면 AI 탐지 기술, 콘텐츠 검증 프로세스, 사용자 교육이 필수적이다.

사이버 보안 플랫폼인 노우비포(KnowBe4)가 인적 위험 관리를 자동화하고 강화하기 위해 설계된 새로운 혁신적인 AI 네이티브 보안 에이전트 제품군인 'AIDA'를 발표했다.

AIDA는 여러 AI 기술을 활용하여 모든 최종 사용자를 위한 개인화되고 적응력이 뛰어나며 매우 효과적인 교육을 생성해 실제로 행동을 변화시킨다. 전체 에이전트 제품군을 뒷받침하는 것은 바로 스마트리스크 에이전트(SmartRisk AgentTM)이다. 스마트리스크 에이전트는 노우비포 제품 전반의 최종 사용자 행동 데이터를 활용하여 인간에게 있는 사이버 위험을 측정하도록 지원한다. 에이전트의 다차원적 위험 점수는 보안 전문가가 사용자, 그룹 및 조직 수준에서 잠재적인 문제를 쉽게 파악할 수 있도록 설계되었다.

이번에 공개된 에이전트는 자동화 교육, 템플릿 생성, 지식 리프레셔, 정책퀴즈에 대한 것이다.

자동화된 교육 에이전트는 7가지 지식 영역에서 37개 요소에 영향을 미치는 316개 지표가 포함된 AI를 사용하여 최종 사용자의 학습 이력, 직무 역할, 위험 점수, 행동 패턴, 언어까지 분석함으로써 AIDA는 가장 적절하고 매력적인 콘텐츠를 자동으로 할당할 수 있다.

템플릿 생성 에이전트는 생성형 AI를 활용하여 최신 공격 벡터를 반영할 수 있는 매우 현실적인 피싱 템플릿을 생성한다. 소셜 엔지니어링 지표 즉, 레드 플래그는 NIST 피싱 스케일 프레임워크(NIST Phish Scale Framework)를 기반으로 한다.

지식 리프레셔 에이전트는 최적의 시간 간격으로 바이트 크기의 지식 리프레셔를 제공하여 최종 사용자가 중요한 보안 개념을 실제로 적용할 수 있도록 보장한다.

정책 퀴즈 에이전트는 조직의 특정 보안 및 규정 준수 정책을 기반으로 지능형 퀴즈를 생성한다.

노우비포의 최고경영자인 스튜 슈베르만(Stu Sjouwerman)은 “AIDA는 위험 환경 내에서 위협을 더 잘 이해하고 완화하기 위해 인간의 위험 점수를 측정함으로써 조직이 AI 기반 사이버 보안 공격보다 앞서 나갈 수 있도록 지원한다.”고 말했다.