AI가 기업 운영의 핵심으로 자리 잡으면서, 사이버 위협 또한 AI 기반으로 진화하고 있다. 단순한 데이터 유출이나 피싱을 넘어, 모델 하이재킹과 딥페이크 사기 등 AI 특유의 공격이 현실에서 발생하며 막대한 피해를 초래하고 있다. 기업들은 AI 활용의 속도만큼 보안 대응 체계를 강화하지 못해 운영·재무·평판 전반에서 새로운 리스크에 직면하고 있다.

글로벌 IT 서비스 제공업체 검증·연결 플랫폼 테크베헤모스(TechBehemoths)가 ‘AI 사이버 위협에 직면한 기업 보안 현황(Insights from TechBehemoths)’ 보고서를 발표하며, 인공지능 확산과 함께 증가하는 보안 위험과 이에 대응하기 위한 신뢰할 수 있는 보안 파트너십의 필요성을 강조했다.

딥시크·아룹 사건이 남긴 교훈

중국 딥시크(DeepSeek)는 2025년 1~2월 사이 설정 오류로 100만 건 이상의 민감 데이터(API 키, 백엔드 메타데이터, 대화 로그)를 노출시켰다. 동시에 대규모 DDoS 공격과 악성 PyPI 패키지를 통한 공급망 침해도 발생했으며, 이로 인해 이탈리아·한국·미국·대만·네덜란드·호주 정부가 공공부문에서 해당 플랫폼 사용을 제한하거나 금지했다.

또한 2024년 홍콩에서는 아룹(Arup) 직원이 CEO로 위장한 AI 생성 영상통화(딥페이크)에 속아 총 15건의 무단 금융 이체를 승인해 약 2억 홍콩달러(미화 2,500만 달러, 한화 약 340억 원 상당)의 피해를 입었다. 내부 시스템은 안전했지만, 신원 검증 미흡이 치명적 결과를 낳은 대표적 사례로 지목됐다.

테크베헤모스 연구원은 “작은 설정 오류나 취약한 신원 검증만으로도 치명적인 손실이 발생할 수 있다.”라며 “AI 기반 위협은 다층적이고 선제적인 보안 전략이 요구된다.”고 강조했다.

드러난 AI 보안 취약점

기업들이 간과하기 쉬운 AI 관련 보안 위험은 ▲승인되지 않은 ‘섀도우 AI(Shadow AI)’ 사용 ▲데이터 중독(Data Poisoning)과 적대적 공격(Adversarial Attacks) ▲모델 하이재킹으로 인한 민감 데이터 노출 및 오류 출력 ▲페이크·합성 신원 기반 금융·운영 프로세스 공격 ▲고가치 자산을 신속히 암호화하는 AI 기반 랜섬웨어가 있다.

대기업뿐 아니라 중소·중견 기업까지 모든 조직이 이러한 리스크를 평가하고 AI 인프라와 민감 데이터를 보호하는 보안 체계를 최우선 과제로 삼아야 한다.

규제 환경 변화와 기업 과제

한편 2025년 들어 글로벌 규제 환경이 빠르게 진화하고 있다.

유럽연합은 EU AI 법을 통해 위험 기반 접근 방식을 도입했으며, 2월 2일부터 시행에 들어갔다. 이어 8월 2일부터는 범용 AI 모델을 대상으로 투명성과 감사 의무를 강화하는 핵심 조항을 채택했다. 같은 해 1월 17일부터는 금융기관을 대상으로 회복력 테스트, 사고 보고, 운영 리스크 관리 등을 의무화한 디지털 운영 회복력 법(DORA)이 발효됐다.

영국은 사이버 회복력 법안을 통해 사고 보고 범위와 중요 인프라 보호 요구 사항을 확대했고, 미국은 행정명령과 NIST 프레임워크를 통해 ‘보안 중심 설계’ 원칙, 모니터링 기준, 책임성 가이드라인을 마련했다. 이처럼 글로벌 규제는 단순한 준수를 넘어, AI 기반 위협에 직면한 기업의 보안 역량을 평가하는 핵심 잣대로 작용하고 있다.

신뢰할 수 있는 보안 파트너십의 필요성

기업들은 점차 검증된 사이버 보안 및 AI 위험 관리 파트너를 찾고 있으며, 테크비히모스는 이를 연결하는 플랫폼 역할을 하고 있다. 기업들은 플랫폼을 통해 ▲보안 전문업체 자격·인증·평판 검증 ▲위협 모니터링·데이터 보호·규제 준수 경험 보유 업체 발굴 ▲프로젝트 맞춤형 연결 서비스를 활용할 수 있다.

현재 플랫폼에는 120여 개국에서 1800개 이상의 사이버보안 기업과 540명 이상의 IT 보안 및 범죄 예방 전문가가 활동 중이며, 침투 테스트부터 AI 위협 탐지까지 다양한 보안 서비스를 제공하고 있다.

딥시크와 아룹 사례는 AI 기반 공격이 단순한 가능성이 아니라 이미 기업 운영에 현실화된 위협임을 보여준다. 글로벌 규제 강화와 함께, 기업은 더 이상 ‘사후 대응’에 머무를 수 없다. 신뢰할 수 있는 보안 파트너십을 구축하고 다층적인 방어 체계를 마련하는 것이 2025년 기업 생존과 직결된 핵심 과제가 되고 있다.