AI 기술이 사이버 공격 수단으로 활용되면서, 기업의 보안 전략도 새로운 전환점을 맞고 있다. 특히 생성AI 기반의 가짜 메시지, 딥페이크 영상, 합성 신원 등의 기술이 공격 수단으로 등장하면서 정교하고 대규모의 소셜 엔지니어링이 가능해졌다.

하지만 이러한 변화에 대한 인식 수준은 조직 내 구성원 간에 뚜렷한 차이를 보이고 있다. 기술 부서와 비즈니스 부서 간의 위협 인식 격차는 보안 대응의 사각지대를 유발할 수 있다는 우려가 커지고 있다.

오픈 소스 인텔리전스 솔루션 기업 소셜 링크(Social Links, CEO 이반 슈크바룬)가 금융 서비스, 기술, 제조, 소매, 의료, 물류, 정부 등 다양한 산업 분야의 전문가 237명(CEO 및 기술 C레벨부터 사이버 보안 전문가 및 제품 관리자까지)의 AI 기반 사이버 공격이 초래하는 위험 인식 조사 결과 보고를 발표했다.

AI 위협 인식 격차, 보안의 조직적 취약점 드러나

이번 조사는 비즈니스 전문가와 기술 전문가 간에 격차를 밝혀냈다. 특히, 위협 정교성이 급격히 증가해도, 비즈니스 응답자들은 기술 부문 동료들보다 현저히 적게 우려하는 것으로 드러났다. 이는 조직의 준비 태세에 잠재적인 사각지대가 있음을 시사한다.

비즈니스 전문가(비기술적, 비즈니스 중심 역할의 전문가) 중 AI를 이용한 가짜 메시지 생성을 가장 관련성 높은 사이버 위협 중 하나로 식별한 비율은 27.8%에 불과했다.

반면, 기술 전문가들은 53.3%가 이를 주요 우려 사항으로 지목했으며, 이는 거의 두 배에 달하는 경각심 수준이다. 딥페이크 기술에 대해서도 비슷한 양상이 나타났다. 기술 직원은 46.7%가 우려를 표명한 반면, 비즈니스 응답자는 27.8%에 불과했다.

동시에, 응답자들이 식별한 사이버 위협에 가장 취약한 부서는 재무 및 회계(24.1%), IT 및 개발(21.5%), HR 및 채용(15.2%), 영업 및 계정 관리(13.9%)였다. 민감 정보를 다루는 부서일수록 공격 표적이 될 가능성이 높아, 이들 부서의 대응 능력 강화가 요구된다.

직원 디지털 흔적과 섀도우 AI, 새로운 공격 경로로 부상

보고서는 사이버 공격의 진입점으로 직원들의 디지털 활동을 지목했다. 응답자의 60.8%는 직원들이 소셜미디어, 포럼 게시, 공개 프로필 업데이트 등을 통해 회사 계정으로 개인적인 활동을 하고 있다고 응답했다. 또한 59.5%는 이러한 외부 활동에서 노출된 정보가 실제 사이버 공격에 활용된 사례가 있다고 답했다. 이처럼 기업 외부의 디지털 흔적이 공격자의 정보 수집과 맞춤형 공격의 단초가 되고 있는 것이다.

더불어 기업 내부의 AI 도구 사용 실태도 주요한 보안 위협 요소로 부각됐다. 82% 이상의 기업이 직원들의 AI 도구 사용을 허용하고 있는 반면, 이를 통제할 수 있는 공식 정책을 보유한 기업은 36.7%에 불과했다. 이로 인해 내부 승인 없이 사용되는 ‘섀도우 AI’가 증가하고 있으며, 이는 민감한 데이터 유출과 보안 사고의 가능성을 높이고 있다.

이반 슈크바룬은 “AI 도구 사용은 이미 일상화되어 있으며, 이를 완전히 통제하는 것은 사실상 불가능하다”며, “중요한 것은 ‘사용하지 말라’는 금지보다는, 안전하게 사용하는 방법을 교육하고 적절한 도구를 제공하는 것이다”라고 말했다. 그는 이러한 디지털 흔적이 공격자에게 직원 정보를 노출시키고, 공격 경로를 제공한다는 점에서 실질적인 보안 인식 강화가 필요하다고 강조했다.

AI 보안 대응, 기술적 통제에서 조직 차원의 총체적 접근 전환 필요

보고서는 AI 기반 사이버 위협이 기존의 피싱, 맬웨어, 이메일 사기 등과 결합하여 더욱 빠르고 정교한 공격 방식으로 진화하고 있다고 분석했다. 응답자의 69.6%는 전통적인 피싱이나 이메일 사기를 여전히 주요 위협으로 인식했으며, 맬웨어 및 랜섬웨어는 49.4%로 뒤를 이었다. 그러나 AI를 활용한 가짜 메시지 및 캠페인을 주요 위협으로 꼽은 비율도 39.2%에 달했으며, 딥페이크 및 합성 신원을 위협으로 인식한 비율은 32.9%에 이르렀다. 이는 AI 생성 기술이 보안 위협 환경에서 핵심적인 변수로 떠오르고 있음을 보여준다.

설문에 참여한 응답자들은 이러한 AI 위협에 대응하기 위해 가장 효과적인 방법으로 ‘직원 교육’을 꼽았다. 전체 응답자의 72.2%가 AI 사용과 관련한 보안 교육이 가장 우선되어야 한다고 답했으며, 이어서 46.8%는 내부 정책의 정비와 명확한 가이드라인 수립이 필요하다고 응답했다. 기술 중심의 통제에서 벗어나 인간 중심의 보안 전략이 병행되어야 한다는 의견이 다수였다.

소셜링크는 이러한 인식에 발맞춰 AI 위협에 특화된 대응 전략을 강화하고 있다. 최근에는 ‘다크사이드 AI(Darkside AI)’라는 신규 이니셔티브를 시작했으며, 이를 통해 AI 기반의 복합 위협을 더욱 심층적으로 분석하고 예방할 수 있는 기술과 방법론을 개발하고 있다. 이 이니셔티브는 AI 기술 발전에 따른 새로운 공격 벡터에 효과적으로 대응하기 위한 조직 보안 전략 수립에 기여할 전망이다.

소셜 링크 CEO 이반 슈크바룬(Ivan Shkvarun)은  “AI 기반 위협은 더 이상 가정의 문제가 아니라 현실이며, 빠르게 진화하고 있다”며, “방어 체계를 구축하는 기술 인력과 실제 공격 대상이 되는 비즈니스 담당자 간의 인식 격차는 심각한 보안 리스크로 작용할 수 있다”고 경고했다. 그는 기술적 대응만으로는 부족하며, 전사적인 인식 제고와 교육이 병행되어야 한다고 강조했다.