AI가 해커의 속도를 높인다…영국, 2027년 사이버 위협 급증 경고
영국 사이버보안 당국이 인공지능 확산에 따른 새로운 보안 국면을 경고하고 나섰다. 생성형 AI와 자동화 도구가 보편화되면서 사이버 공격자는 더 적은 비용으로 더 빠르게, 더 정교한 공격을 실행할 수 있게 됐다. 그동안 보안 위협은 전문 해커 집단이나 국가 배후 조직의 영역으로 여겨졌지만, AI의 확산은 공격 진입 장벽을 낮추고 기존 사이버 범죄의 생산성을 끌어올리는 방향으로 작용하고 있다.
영국 국가사이버보안센터, NCSC는 최근 공개한 보고서에서 2027년까지 AI가 사이버 침입 작전의 효율성과 효과를 높일 가능성이 매우 크다고 평가했다. NCSC는 이번 분석이 허위정보나 영향력 공작 같은 넓은 범위의 AI 위협이 아니라, 실제 네트워크 침입과 해킹 작전에 AI가 어떤 영향을 미치는지에 초점을 맞춘 것이라고 설명했다.
가장 즉각적인 변화는 피싱과 사회공학 공격에서 나타난다. 과거에는 어색한 문장, 부자연스러운 번역, 반복적인 표현이 피싱 메일을 구별하는 단서가 됐다. 그러나 생성형 AI는 자연스러운 문장과 특정 조직에 맞춘 설득력 있는 메시지를 빠르게 만들어낼 수 있다. 공격자는 공개된 기업 정보, 임직원 프로필, 보도자료, 소셜미디어 게시물을 조합해 실제 업무 요청처럼 보이는 이메일이나 메시지를 만들 수 있다. 보안 교육에서 강조해온 “문장이 어색하면 의심하라”는 기준만으로는 더 이상 충분하지 않은 환경이 되고 있다.
AI는 취약점 탐색과 공격 자동화에도 영향을 준다. NCSC는 AI가 사이버 공격의 일부 절차를 더 효율적으로 만들며, 방어 역량이 부족한 조직과 AI 기반 방어 능력을 갖춘 조직 사이의 격차가 커질 수 있다고 봤다. 이는 모든 공격자가 갑자기 고급 해커가 된다는 뜻은 아니다. 다만 기존에 시간이 많이 걸렸던 정찰, 문서 분석, 악성 스크립트 변형, 표적 맞춤형 메시지 작성 같은 작업이 더 빠르게 처리되면서 공격량과 속도가 동시에 높아질 수 있다는 의미다.
영국 기업들이 이미 체감하는 위협도 커지고 있다. 최근 TechRadar Pro가 보도한 조사에서는 영국 조직의 76%가 AI로 생성된 피싱 이메일, 가짜 음성, 영상 사기 등 딥페이크 공격을 경험한 것으로 나타났다. 반면 향후 공격에 충분히 대비돼 있다고 답한 비율은 40% 수준에 그쳤다. 딥페이크는 더 이상 유명인을 겨냥한 온라인 조작물에만 머물지 않는다. 기업 임원을 사칭한 음성 지시, 화상회의 화면 조작, 거래처 담당자처럼 보이는 메시지 등 실제 금전 피해와 내부 정보 유출로 이어질 수 있는 업무형 사기로 진화하고 있다.
문제는 영국 내 상당수 조직의 기본 보안 체계가 아직 공격 속도를 따라가지 못한다는 점이다. 최근 영국 사이버보안 침해 조사에서는 기업의 43%, 자선단체의 28%가 사이버 침해나 공격을 경험한 것으로 나타났고, 중견기업과 대기업에서는 이 비율이 각각 65%, 69%까지 올라갔다. 가장 흔한 공격 유형은 여전히 피싱이었다. AI는 이 익숙한 공격 방식을 완전히 대체하기보다 더 정교하고 대량화된 형태로 증폭시키고 있다.
이 같은 변화는 보안 조직 내부에도 부담을 준다. 보안 담당자는 더 많은 경고와 더 정교한 사칭 시도를 구분해야 하고, 취약점 패치와 로그 분석, 사고 대응 속도도 높여야 한다. 인력과 예산이 충분한 금융·대형 기술기업은 AI 기반 탐지 도구와 자동화 시스템을 도입해 대응할 수 있지만, 중소기업이나 일부 공공기관은 같은 속도로 따라가기 어렵다. NCSC가 우려하는 ‘디지털 격차’는 단순한 기술 격차가 아니라, 공격을 견딜 수 있는 조직과 그렇지 못한 조직 사이의 생존 격차로 번질 수 있다.
영국 정부와 보안 업계가 강조하는 대응 방향은 거창한 신기술보다 기본기의 재정비에 가깝다. 다중인증 도입, 정기적인 패치 관리, 계정 권한 최소화, 백업 체계 점검, 임직원 대상 사칭 공격 훈련, 사고 대응 계획 수립이 핵심이다. AI 시대의 보안이라고 해서 모든 조직이 곧바로 고가의 첨단 솔루션을 도입해야 하는 것은 아니다. 오히려 공격자가 자동화로 속도를 높이는 만큼, 조직 내부의 기본 방어 절차도 자동화되고 반복 가능해야 한다.
AI는 방어자에게도 기회를 제공한다. 이상 로그인 탐지, 악성 이메일 분류, 취약점 우선순위 분석, 보안 로그 요약 등에서 AI는 보안 인력의 부담을 줄일 수 있다. 그러나 방어 도구로서 AI를 쓰려면 데이터 품질과 운영 기준이 필요하다. 잘못된 탐지는 업무를 마비시키고, 놓친 경고는 침해 사고로 이어질 수 있다. AI 보안의 핵심은 도구를 들여놓는 일이 아니라, 사람이 확인하고 책임질 수 있는 체계 안에서 자동화를 설계하는 데 있다.