[이코노미스트 원태영 기자]대한민국 사이버 보안 역사에서 2025년은 ‘암흑의 해’로 기록될 전망이다. SK텔레콤과 KT 등 국가 기간망을 책임지는 통신사부터 ▲자산운용사 ▲카드사 ▲유통 기업에 이르기까지 그야말로 ‘안 뚫린 곳이 없는’ 초유의 사태가 벌어졌다. 2026년 현재 우리 사회는 디지털 대전환의 화려한 겉모습 뒤에 가려져 있던 ‘보안 불감증’이라는 처참한 성적표를 받아 들었다. 특히 인공지능(AI)이라는 날개를 단 해커들은 과거와는 비교할 수 없는 속도와 정교함으로 우리 일상을 파고들고 있다.

최근 해킹 트렌드에서 주목할 점은 피해의 질적 변화다. SK텔레콤의 2300만 고객 정보 유출과 KT의 불법 기지국을 통한 소액결제 탈취 사건은 단순한 정보 유출을 넘어 국민의 통신 주권이 흔들릴 수 있음을 시사했다. 금융권 역시 예외는 아니었다. 롯데카드는 온라인 간편결제 시스템이 해킹되면서 로그 파일에 기록돼 있던 이용자 약 297만명의 개인신용정보가 외부로 유출된 것으로 확인됐다. 이 중 45만명의 주민등록번호도 함께 유출됐다.

AI가 바꾼 공격 패러다임

이제 해킹은 더 이상 숙련된 해커가 밤을 지새우며 코드를 짜는 이른바 ‘노가다’의 영역이 아니다. 예전에는 사람이 오래 붙어야 했던 ▲피싱 문구 작성 ▲피해자 맞춤형 시나리오 구성 등의 과정이 AI로 훨씬 빨라졌다. 이제는 전문성이 조금 부족해도 그럴듯한 메시지와 콘텐츠를 대량으로 만들 수 있는 시대가 됐다. 무서운 건 정교함 자체보다 이 모든 과정이 ‘대량화’되고 있다는 점이다. 

글로벌 보안 기업 크라우드스트라이크가 최근 발표한 ‘2026 글로벌 위협 보고서’에 따르면 2025년 사이버 범죄의 평균 침입 시간은 29분으로 단축됐다. 이는 전년 대비 65%나 빨라진 수치다. 특히 단 27초 만에 침입에 성공한 사례도 포착됐으며, 최초 접근 후 데이터 유출 시작까지 단 4분이 걸린 경우도 있었다. AI가 공격의 효율성을 극대화하며 기존의 보안 대응 체계를 무력화하고 있다는 분석이다.

공격자들은 ▲정찰 ▲자격 증명 탈취 ▲탐지 회피 전반에 걸쳐 AI를 무기화하고 있다고 보고서는 분석했다. 침입은 서비스형 소프트웨어(SaaS) 애플리케이션, 클라우드 인프라를 통해 이뤄지며, 겉으로는 정상 활동처럼 보인다는 점이 특징이다. 크라우드스트라이크 관계자는 “보안팀이 대응할 수 있는 시간이 빠르게 줄어들고 있다”며 “AI는 공격을 가속하는 요인이자 동시에 새로운 공격 대상이 되고 있다”고 설명했다.

조사에 따르면 AI 기반 공격은 전년 대비 89% 증가했다. 러시아 연계 공격 세력인 ‘팬시 베어’는 대형언어모델(LLM) 기반 악성코드를 배포해 정찰과 문서 수집을 자동화했다. 사이버범죄 그룹 ‘펑크 스파이더’는 AI 생성 스크립트를 활용해 자격 증명 유출을 가속화하고 포렌식 증거를 삭제하기도 했다.

북한도 활동 범위를 넓히고 있다. 북한 연계 공격 세력인 ‘페이머스 천리마’는 AI로 생성한 가상 인물을 활용해 내부자 공격을 확대했다. 북한 연계 공격은 페이머스 천리마의 활동이 두 배 이상 증가하며 130% 이상 급증한 것으로 알려졌다. 중국 연계 세력 역시 공세를 강화하고 있다. 중국의 공격 횟수는 전체적으로 38% 증가했으며, 특히 물류 산업을 겨냥한 공격은 85%나 폭증했다.

애덤 마이어스 크라우드스트라이크 공격 대응 작전 총괄은 “현 상황은 AI 군비 경쟁을 방불케 한다”며 “침입 시간 단축은 공격 양상이 어떻게 달라지고 있는지를 보여주는 가장 명확한 지표”라고 밝혔다.

전문가들은 대한민국의 보안 위기가 단순히 기술 부족 때문이 아니라고 단언한다. 근본적인 원인은 세계 최고 수준의 IT 인프라에 비해 턱없이 낮은 ‘보안 인식’에 있다는 지적이다.

민낯 드러난 ‘보안 불감증’…인프라는 1류, 인식은 3류

국내 대기업들의 보안 투자는 여전히 비용 관점에서 접근한다. 기업데이터연구소 CEO스코어가 정보보호 공시 종합 포털에 3년 연속 공시한 585개 기업의 투자 현황을 분석한 결과, 지난 2024년 기준 정보보호 투자액은 2조2401억원으로 전체 매출액(1787조3174억원) 대비 비중이 0.13%에 불과했다. 이들 기업의 전체 매출액 대비 정보보호 투자 비중은 2022년 0.1%, 2023년 0.12%, 2024년 0.13%로 3년 연속 0.1%선에 그쳤다.

아울러 기업들의 ‘해킹 은폐’도 사태를 더욱 키우고 있다는 지적이다. ‘일단 숨기고 보자’는 식의 대응이 해커들에게는 추가 공격을 준비할 충분한 시간만 벌어준다는 설명이다. 한 보안 전문가는 “대한민국 기업들은 최신형 외제차(IT 시스템)를 사면서도 자물쇠는 낡은 문고리(보안 솔루션)를 쓰고 있다”며 “경영진이 보안을 전산팀의 업무로만 치부하는 한, AI 신무기를 앞세운 해커들을 막아내는 것은 사실상 불가능하다”고 꼬집었다.

전문가들은 정부의 제도적 개선도 병행돼야 한다고 말한다. 사고 발생 시 징벌적 손해배상 규모를 현실화하고 최고정보보호책임자의 권한과 책임을 강화하는 법적 장치가 마련돼야 한다는 지적이다. 보안은 더 이상 선택이 아닌 생존의 문제이기 때문이다.

해킹 기술은 빛의 속도로 진화하고 있으며, AI를 무기로 장착한 해커들은 더욱 대담하게 우리의 일상을 위협하고 있다. 대한민국이 진정한 IT 강국으로 남기 위해서는 화려한 기술의 외형만큼이나 단단한 보안의 내실을 갖춰야 한다. 특히 지금 당장 필요한 것은 수천억원의 장비 도입보다 ‘내 책상 위의 비밀번호 하나부터 관리하겠다’는 전사적 인식의 전환이다. 

양하영 안랩 ASEC 실장은 “예산과 인력이 한정돼 보안이 어렵다는 것도 어느정도 이해를 하지만, 기본적인 백신조차 설치하지 않는 회사들이 생각보다 많다”며 “AI 보안 시대라고 해서 어떤 거창한 솔루션을 도입하라 이런 얘기보다는 기본적으로 보안에 대한 인식 자체를 높이는 것이 더 중요하다고 생각한다”고 밝혔다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지