최근 개인정보 유출 사고 급증… 외부 해킹 넘어 내부·계정 도용이 주범

최근 유통과 항공, 금융 등 분야를 가리지 않고 발생한 개인정보 유출 사고의 근본 원인은 전통적 외부 침입을 넘어섰다.

보안 전문가들은 합법적 권한을 가진 내부자에 의한 유출이나 탈취된 계정으로 시스템에 접근하는 사례가 크게 늘었다고 분석한다.

공격자들은 방화벽을 강제 돌파하기보다 훔친 인증 정보를 이용하거나 관리되지 않은 응용프로그램 인터페이스(API)를 노리는 방식으로 바뀌었다.

인공지능(AI) 시대에 데이터가 핵심 자산으로 떠오르면서 기업 시스템이 복잡해진 점이 취약점을 확대했다는 지적이 나온다.

◆ 크리덴셜 스터핑 공격 확산… 정상 로그인으로 위장

유출 사고 로그를 살펴보면 시스템상 정상 접속으로 기록된 경우가 많다.

이는 크리덴셜 스터핑(Credential Stuffing) 공격으로 다크웹에서 얻은 다른 사이트의 아이디와 비밀번호를 자동화 도구로 대입하는 수법이다.

인공지능(AI) 기반 봇은 초당 수천 번 로그인 시도를 하며 이용자들이 여러 서비스에서 같은 비밀번호를 사용하는 습관을 파고든다.

보안 관제 현장에서는 주요 온라인 서비스 로그인 시도의 상당 부분이 봇 트래픽으로 보고 있다.

시스템 입장에서는 정상 인증으로 인식되기 때문에 공격 탐지가 어렵다.

아시아나항공 사건은 악성코드에 의한 외부 침입이었으나 신한카드는 내부 직원 일탈로 19만여 건이 유출됐다.

G마켓 사례도 외부에서 탈취된 계정 도용으로 보인다.

◆ 좀비 API와 섀도우 AI… 방치된 취약점 노출

인공지능(AI) 도입 경쟁으로 기업 정보기술(IT) 구조가 클라우드와 서비스형 소프트웨어(SaaS) 중심으로 재편됐다.

이 과정에서 시스템 간 연결 창구인 응용프로그램 인터페이스(API)가 폭증했다.

개발 속도에 밀려 보안 검증 없이 만들어지거나 프로젝트 종료 후 삭제되지 않은 좀비 API가 주요 문제로 지목된다.

글로벌 보안 업계는 악성 API 트래픽의 약 30퍼센트(%)가 문서화되지 않은 섀도우 API를 대상으로 한다고 추정한다.

기업 스스로 자사 시스템의 API 현황을 제대로 파악하지 못하는 경우가 늘었다.

임직원이 회사 허가 없이 생성형 인공지능(AI)을 업무에 사용하는 섀도우 AI도 심각한 위험 요인이다.

기밀 자료를 외부 인공지능(AI)에 입력하면 데이터가 기업 통제 범위를 벗어나 외부 클라우드에 저장된다.

◆ 초연결 구조의 딜레마… 데이터 경쟁이 보안 우선순위 밀려

기업들은 위험을 인지하고 있으나 인공지능(AI) 성능이 데이터 양과 질에 좌우되기 때문에 연결을 제한하기 어렵다.

경영진의 데이터 확보 압박 속에서 보안팀 경고가 무시되는 사례가 빈번하다.

데이터 수집과 저장, 분석 주체가 분산되면서 사고 발생 시 책임 소재가 불분명해 대응이 늦어진다.

◆ 유출 데이터와 AI 결합… 모자이크 효과로 2차 피해 증폭

유출된 조각 정보가 생성형 인공지능(AI)과 만나 하나의 프로파일로 재구성된다.

인공지능(AI)은 이를 활용해 정교한 피싱 메시지나 딥보이스 시나리오를 만든다.

수사 당국은 결합된 데이터의 위험성을 단편 유출보다 높게 평가한다.

◆ 제로 트러스트로 전환 필요… 경계 보안 한계 드러내

전문가들은 경계 보안 시대가 끝났다고 판단한다.

대안으로 제로 트러스트(Zero Trust)를 꼽으며 아무도 믿지 않고 실시간으로 검증하는 원칙을 강조한다.

사용자와 기기, 데이터 맥락을 지속 확인하고 권한을 최소화하는 마이크로 세분화가 핵심이다.

인공지능(AI) 시대 보안은 기술 문제를 넘어 거버넌스 차원으로 최고경영자(CEO)가 보안을 생존 필수 투자로 인식하고 데이터 흐름 전체를 관리할 컨트롤타워를 구축해야 한다는 의견이 나온다.

정부 규제도 사후 처벌 중심에서 설계 단계 보안 내재화를 확인하는 예방적 감독으로 바뀌어야 한다는 지적이 제기된다.

더프리덤타임즈 정창옥 jedai7000@naver.com

정창옥의 기사 더보기

전체 메뉴