인공지능(AI)의 고도화와 함께 자동화된 사이버 공격의 정밀성이 높아지고 있다. 기업 내부의 계정 정보, 권한 설정, 비밀번호와 같은 신원 기반 요소들이 공격의 핵심 표적이 되고 있으며, AI 기반 피싱과 딥페이크, 자동화된 스캐닝 공격까지 등장하면서 기업의 보안 체계는 근본적인 전환을 요구받고 있다. 이런 흐름 속에서 모든 접속과 권한을 검증하는 ‘제로 트러스트’ 보안 전략은 전략적 필수 요소로 자리 잡고 있으나, 실제 현장에서는 그 도입이 더디게 진행되고 있다. 보안 환경은 빠르게 진화하고 있지만, 기술 도입과 내부 체계 변화의 속도는 그에 미치지 못하고 있다.

AI 위협 대비 부족...신원 기반 공격이 가장 큰 보안 위협으로 부상

사이버 보안 전문 기업 키퍼 시큐리티(Keeper Security, 이하 키퍼)는 Infosecurity Europe 2025 현장에서 사이버 보안 전문가 160명을 대상으로 설문 조사를 실시했다. 그 결과, 응답자의 23%가 피싱, 크리덴셜 스터핑, 비밀번호 도용 등 ‘신원 기반 공격’을 조직 보안을 위협하는 가장 큰 요인으로 꼽았다. 특히 AI 기반 기술과 불충분한 접근 통제 사이의 연결성이 더욱 뚜렷해지고 있다는 점에서 주목된다.

조사에 따르면, 매우 효과적인 제로 트러스트 보안 체계를 운영하고 있다고 답한 조직의 응답자 중 절반은 AI 위협에 대해 자신감을 드러냈다. 반면, 제로 트러스트가 전혀 도입되지 않았거나 미흡하다고 응답한 조직은 AI 공격 대응에 대해 뚜렷한 불신을 보였다. 이 결과는 AI 기반 위협이 기술적 진보만큼이나 조직 내부 보안 프레임워크의 구축 상태에 따라 방어력이 크게 달라질 수 있음을 보여준다.

한편, 전체 응답자의 단 12%만이 AI 기반 공격에 대해 조직이 충분히 대비하고 있다고 답했으며, 절반 이상은 아직 준비가 부족하거나 확신이 없다고 답변했다. 이는 업계 전반에 걸쳐 AI 위협 대응에 대한 실질적 준비가 미흡하다는 것을 반영한다.

PAM 관리 실패와 제로 트러스트 도입 지연이 보안 공백 초래

조사 결과는 또한 전반적인 권한 접근 관리(PAM)의 실패가 AI 위협 대응력에 영향을 미치고 있음을 보여준다. 조직의 43%는 다중 인증(MFA)을 적용하지 않고 있었고, 35%는 과도한 권한 부여를 하고 있었다. 또한, 34%는 더 이상 필요하지 않은 접근 권한을 회수하지 않고 있었으며, 30%는 권한 계정에 대한 가시성이 부족하다고 답했다. 전담 PAM 도구가 없는 조직도 37%에 달했다.

이와 같은 관리 실패는 제3자 접근 위험(35%)과 부실한 보안 감사 관행(30%)과 결합되어 조직 전체의 보안 리스크를 높이고 있다. 특히 권한 상승, 내부자 위협, 세션 탈취와 같은 공격은 이러한 허점을 통해 조직의 핵심 자산에까지 영향을 미칠 수 있다.

제로 트러스트가 전략적으로 중요하다는 인식은 확산되고 있으나, 실제 도입률은 낮았다. 매우 효과적으로 구현했다고 응답한 비율은 18%에 불과했고, 44%는 제로 트러스트가 조직 내에서 아예 적용되지 않았거나 중요하게 여겨지지 않는다고 답했다. 예산 부족, 경영진의 무관심, 기존 시스템과의 통합 복잡성 등이 도입 지연의 주된 원인으로 꼽혔다.

AI에 대한 기대와 경계 공존...신원 인증 기술 혁신 가능성도 제기

AI 기술은 보안 위협 요인일 뿐 아니라 해결책으로서의 가능성도 동시에 주목받고 있다. 설문에 참여한 응답자의 53%는 AI 기반 신원 검증 및 인증 기술이 향후 3~5년 내에 기존의 비밀번호 방식이나 양자 저항 암호화 기술을 넘어설 수 있는 가장 혁신적인 기술이 될 것이라고 답했다.

그와 동시에, AI 위협에 대한 인식은 사용자 그룹 간 차이를 보였다. 일반 사용자 중 53%는 AI 위협이 언론에서 과장됐다고 인식했지만, 보안 전문가 중에서는 단 24%만이 그와 같은 생각을 공유했다. 전문가 대부분은 신원 기반 보안이 취약할 경우, AI가 위협을 확대하는 수단으로 충분히 기능할 수 있다고 경고하고 있다. 특히 최종 사용자 중 32%는 위협의 실체에 대해 여전히 판단을 유보하고 있어, AI 보안에 대한 추가적인 인식 교육이 필요한 것으로 분석된다.

키퍼의 공동 창립자이자 CEO인 대런 구치오네(Darren Guccione)는 “Infosecurity Europe 2025의 조사 결과는 우리가 일선에서 매일 확인하는 현실을 반영한다”며 “AI는 위협 환경을 재편하고 있으며, 신원 기반 공격은 더 정밀하고 확장 가능하며 파괴적인 방향으로 진화하고 있다.”라며, “제로 트러스트와 강력한 권한 접근 제어 없이 운영되는 조직은 앞으로의 사이버 위협에 취약할 수밖에 없다”고 강조했다.

이번 조사는 AI 기반 사이버 위협에 대응하기 위한 첫 단계로, 신원 중심의 보안 전략 강화와 제로 트러스트의 실질적 도입이 시급하다는 점을 데이터 기반으로 입증한 사례다. AI는 위협이자 도구이며, 그 사이에서 보안 전략이 균형 있게 진화해야 한다는 점이 분명해지고 있다.