인공지능은 S&P 500 기업의 비즈니스 운영 전반에 필수적인 요소로 자리 잡고 있다. 그러나 사이버뉴스(Cybernews) 연구원들이 진행한 조사에 따르면 AI 도입이 기업 운영 효율성 향상에 기여하는 동시에 보안 위험을 급격하게 확대하고 있는 것으로 나타났다.

이번 연구는 언어 모델 기반 분석, 내부 비즈니스 도구, 고객 통합 시스템, 자동화 지원 시스템 등 다양한 사례를 바탕으로 기업 327곳을 분석하여 위험성을 드러냈다.

3대 주요 위협, 불안정한 출력·데이터 유출·지식재산 도용

연구 결과 첫 번째 위협은 불안정한 출력으로, 총 205건이 기술, 금융, 의료 분야 등에서 확인됐다. 챗봇의 고객 데이터 유출, 금융 시스템의 잘못된 투자 조언, 의료 시스템의 환각성 치료법 제공 등이 대표적인 위험으로 지적됐다.

두 번째는 146건에 달하는 데이터 유출이다. 공격자는 교묘한 쿼리를 통해 과거 대화나 학습 데이터를 추출하여 개인식별정보, 재무 정보, 소스 코드 등의 민감한 데이터를 유출할 수 있는 것으로 조사됐다.

세 번째는 119건으로 나타난 지식재산권 도용이다. 공격자는 모델 추출을 통해 기업의 논리를 분석하고 R&D 데이터를 재구성하거나 유출할 수 있으며, 내부자나 손상된 API를 활용한 경우도 보고됐다.

산업별 심각한 위험 분포

AI 도입으로 인해 금융, 의료, 에너지 등 전통적인 민감 산업뿐 아니라 기술, 산업, 소매 등 다양한 분야에서 보안 위협이 확산되고 있다. 기술 소프트웨어와 반도체 분야는 61개 기업에서 202건의 위협이 확인되었으며, 지식재산권 도용 40건, 불안정한 출력 34건, 데이터 유출 32건이 보고됐다. 금융 서비스와 보험 분야는 56개 기업에서 158건의 위험이 발견됐고, 데이터 유출이 35건, 알고리듬 편향이 22건으로 집계됐다. 의료 및 제약 분야는 44개 기업에서 149건의 잠재 위험이 보고되었고, 24건의 데이터 유출과 28건의 불안정한 출력이 주요 문제로 나타났다.

산업과 제조 분야는 114건, 중요 인프라 및 에너지 분야는 103건으로 각각 38건의 중요 인프라 공격 벡터와 12건의 공급망 중단 위험이 식별됐다. 소매 및 소비재 분야에서는 92건, 물류 및 운송 분야에서는 32건의 위험이 보고되었다. 방위 및 항공우주 분야에서는 36건, 미디어 및 엔터테인먼트 분야에서는 25건의 위협이 확인됐다.

AI 보안 기준 강화 필요

넥소스ai(nexos.ai)의 제품 책임자인 질비나스 기레나스(Žilvinas Girėnas)는 “안전하지 않은 AI 출력, 데이터 유출, 지적 재산권 도용은 금융부터 의료, 중요 인프라에 이르기까지 AI를 사용하는 모든 산업의 새로운 주요 위험”라며, 단순한 도입만으로는 충분하지 않고 항공기 수준의 안전 기준과 지속적인 감독, 명확한 가드레일, 제로 트러스트 접근 방식이 필요하다고 강조했다.

사이버뉴스 보안 연구원 마르티나스 바레이키스(Martynas Vareikis)는 “단 하나의 모델 손상만으로도 에너지, 금융, 의료 시스템에 연쇄적인 장애를 초래할 수 있다.”라며 AI 확산으로 인한 취약성과 혁신의 공존을 지적했다.

이번 연구는 모델 조작, 공급망 공격, 알고리듬 편향, 중요 인프라 공격 벡터 등 신종 위험이 빠르게 증가하고 있음을 경고하며, AI 도입 확대에 따른 보안 강화의 필요성을 명확히 했다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.