(서울=뉴스1) 김민재 기자 = 생성형 인공지능(AI)이 발전하면서 '평범한 해커'의 시대가 도래했다. 전문 훈련이 필수였던 해킹이 대중의 영역으로 넘어온 것이다. 반면 기업들은 이런 현실과 반대로 정보보호 투자에 소홀하다는 지적이다.
27일 보안업계에 따르면 정부 기관은 올해 생성형 AI를 활용한 사이버 공격이 늘어날 것으로 전망했다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 '2025 사이버 위협 전망' 보고서를 통해 다크웹을 중심으로 사이버 범죄에 특화된 악성 생성형 AI 모델이 활용될 가능성이 높다고 분석했다.
이들은 "챗GPT와 같은 서비스를 이용해 맞춤형 피싱 메일을 작성하거나 공격 도구를 개발하는 등 악용 사례가 증가할 것"이라고 내다봤다.
사이버 보안 업체 체크포인트도 '2024년 사이버 보안 동향' 보고서에서 생성형 AI가 사이버 공격 절차를 간소화한다고 설명했다.
AI를 활용해 설득력 있는 피싱 이메일을 작성하고 안전장치를 우회해 악성코드를 만들 수 있다는 분석이다.
이런 사례는 꾸준히 적발되고 있다. 오픈AI는 올해 6월 러시아 국적의 해킹 그룹이 챗GPT로 악성코드를 개발한 정황을 포착하고 이들 계정을 차단했다.
이들은 임시 이메일로 챗GPT 계정을 만든 뒤, '크로스헤어-X'라는 게임용 조준선 도구로 위장한 공개 코드 저장소를 통해 악성코드를 유포했다.
이 같은 위협이 커지고 있지만 국내 기업의 사이버 보안 투자는 여전히 미흡하다.
KISA 정보보호 공시 종합 포털에 따르면, 국내 주요 기업의 지난 4년간 정보보호 투자 비중은 정보기술(IT) 투자액 대비 6%대 초반에 머물렀다. 전체 IT 예산이 100억 원이라면 그중 6억 원만을 정보보호에 투자하는 셈이다.
이러한 투자 비중은 미국 기업의 절반가량이다. 보안 전문 연구기관인 IANS 리서치와 아티코서치 보고서에 따르면, 2023년 미국 기업의 IT 예산 대비 정보보호 투자 비중은 평균 11.6%였다.
정부도 이러한 현실을 인지하고 있다. 개인정보보호위원회는 올해 5월, 기업들이 2027년까지 IT 예산의 10%, 2030년까지는 15%를 정보보호에 투자하도록 권고하기로 했다.
그러나 한국정보보호산업협회(KISIA) 지난해 실태조사에 따르면 기업체의 절반가량(49.9%)만이 정보보호 예산을 사용한다. 그중 75.8%는 연간 500만원 미만을 쓰는 것으로 나타났다.
전문가들은 기업이 최고정보보호책임자(CISO)를 중심으로 보안 체계를 강화해야 한다고 강조한다.
이스라엘 정보기관 모사드 출신인 에란 슈타우버(Eran Shtauber) 울트라레드 대표는 "최고경영자(CEO)가 아무리 뛰어난 경영 성과를 내더라도, 단 한 번의 해킹으로 기업이 존폐 위기에 놓일 수 있다"고 지적했다.
그는 이어 "CISO는 기업의 최고 전쟁 사령관이며, 오늘날 전쟁은 전쟁터뿐 아니라 기업 내부와 주변에서 끊임없이 벌어지고 있다"고 경고했다.
minjae@news1.kr
![[단독]넷마블 추가 유출 확인 후 이틀 만에 신고](https://image.news1.kr/system/photos/2025/12/1/7629177/no_water.jpg/dims/crop/628x439)
편집자주 ...위협을 넘어 공포다. 해킹이 일상화되며 매일 사용하는 휴대폰과 신용카드 안전을 걱정해야할 처지다. 북한, 중국, 러시아발 해킹 공격은 국가기관 전체를 위협한다. 정부가 해킹과의 전쟁을 선포했지만 적을 알지 못하면 방어에 성공하기 어렵다. 해커 집단의 수법을 추적 분석하고 보안 강화를 위해 어떤 부분을 정비해야할지 다각도로 따져봐야 할 시점이다.