AI 기술의 급속한 발전이 새로운 사이버 보안 위협으로 이어지고 있다. 글로벌 사이버 보안 및 클라우드 기업 아카마이 테크놀로지스(아카마이코리아 대표 이경준)는 ‘‘2025년 디지털 사기 및 악용 보고서(Digital Fraud and Abuse Report 2025)’를 발표하고 AI 기반 봇 트래픽이 전 산업 웹사이트를 위협하는 수준으로 확대되고 있다고 밝혔다.

보고서에 따르면, AI 봇이 전체 자동화 트래픽에서 차지하는 비중은 1년 새 300% 이상 증가했다. AI 봇은 수십억 건의 요청을 생성해 웹사이트의 분석 데이터와 디지털 운영을 왜곡하고 있으며, 현재 아카마이 플랫폼 전체 봇 트래픽의 약 1%를 차지하는 것으로 조사됐다.

이 같은 급증은 광범위한 콘텐츠 스크래핑에서 비롯됐다. 봇이 웹상의 데이터를 무단으로 수집하며, 퍼블리셔와 콘텐츠 기업의 수익 구조를 흔드는 주요 요인으로 작용하고 있다. AI 모델 학습을 위한 대규모 데이터 수집 과정에서 웹 기반 비즈니스 모델이 본질적으로 침해되고 있다는 경고다.

콘텐츠 산업 63% 타격...커머스·헬스케어도 영향 확산

보고서에 따르면 AI 봇 트리거의 63%가 디지털 미디어 및 퍼블리싱 산업에서 발생해 가장 큰 피해를 입은 것으로 나타났다. 봇이 웹 콘텐츠를 대가 없이 수집함에 따라 광고 수익이 감소하고, 데이터 분석 결과가 왜곡돼 기업의 의사결정 정확도도 저하되고 있다.

커머스 산업에서는 AI 봇이 가장 활발히 탐지됐다. 2개월간의 관측 기간 동안 250억 건이 넘는 봇 요청이 발생했으며, 이는 재고 관리, 가격 비교, 프로모션 분석 등 상거래 핵심 영역에 직접적인 영향을 미쳤다.

헬스케어 분야의 경우 AI 봇 트리거의 90% 이상이 검색 및 학습용 스크래핑에서 비롯됐다. 환자 정보와 연구 데이터가 온라인상에서 다뤄지는 만큼, 자동화된 데이터 수집이 보안 및 개인정보 보호에 중대한 위협으로 지목됐다.

악성 봇 다변화...FraudGPT·WormGPT 등 신종 공격 툴 등장

아카마이는 유용한 봇(검색엔진 색인, 접근성 개선 등)과 악성 봇이 혼재된 환경이 기업의 보안 체계에 복합적 부담을 준다고 지적했다. 특히 FraudGPT, WormGPT, 광고 사기 봇, 반품 사기 봇 등 악성 AI 봇은 트래픽 비용을 증가시키고 웹사이트 성능을 저하시켜 핵심 비즈니스 지표를 왜곡한다.

보고서는 AI 기반 툴의 확산으로 인해 공격자가 가짜 문서, 이미지, 음성을 생성해 피싱 캠페인이나 신원 사기를 실행하는 것이 훨씬 쉬워졌다고 분석했다. 숙련된 해커뿐 아니라 초보 공격자도 AI를 활용해 사회공학적 공격을 실행할 수 있는 환경이 형성되고 있다는 점에서 위협의 범위가 넓어지고 있다.

AI 보안, 경영진의 핵심 의제로 격상해야

아카마이는 기업이 웹 애플리케이션, API, 대규모 언어 모델(LLM)을 대상으로 한 OWASP 상위 10대 프레임워크 중 세 가지 핵심 보안 영역에 집중해야 한다고 권고했다. 이 프레임워크를 활용하면 접속 제어 실패, 인젝션 취약점, 데이터 노출 등 리스크를 기업의 허용 수준에 맞춰 매핑하고 우선순위를 체계적으로 설정할 수 있다.

아카마이 루페시 초크시(Rupesh Chokshi) 애플리케이션 보안 부문 수석 부사장 겸 총괄 매니저는 “AI 봇의 부상은 더 이상 보안팀만의 문제가 아니라 기업 전체의 비즈니스 과제”라며, “경영진은 안전한 AI 도입과 리스크 관리, 디지털 운영 보호를 위한 보안 프레임워크 구축에 즉시 나서야 한다”고 강조했다.

이번 보고서에는 탐지 회피 기법 분석, AI 스크래퍼 봇 유형별 세부 분류, 지역 및 산업별 공격 데이터, 그리고 규제 컴플라이언스와 AI 보안 전략 간의 균형 유지 가이드라인 등이 포함됐다. 또한 금융 보안 연합 FS-ISAC의 CISO 기고문을 통해 글로벌 금융 인프라 복원력 강화 방향도 제시했다.