속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고

AI 시대, 사이버 보안 패러다임이 바뀐다… '예방'에서 '대응' 중심으로

플레인비트 김진국 대표, '2026 정보보호 컨퍼런스'서 최신 침해 사고 패턴 및 대응 전략 제언

백남정 기자
입력 2026년 7월 10일·조회 70
단축URLhttps://privacynews.kr/s/4c918a
 AI 시대, 사이버 보안 패러다임이 바뀐다… '예방'에서 '대응' 중심으로
사진: 정보보호의 날 촬영

생성형 AI의 등장으로 사이버 공격의 경제성이 낮아지면서, 해킹 방식이 기술적 취약점 공격에서 '사람의 신뢰'를 악용하는 방향으로 진화하고 있다. 이에 따라 기업의 보안 전략도 기존의 '예방' 중심에서 '대응 및 복원력' 중심으로 근본적인 변화가 필요하다는 주장이 제기됐다.

​플레인비트 김진국 대표는 26일 열린 '2026 정보보호 컨퍼런스'에서 'AI 시대, 기업 보안의 대응 전략'을 주제로 한 기조연설에서 이같이 밝혔다. ​김 대표는 최근 침해 사고의 주요 패턴으로 4가지를 꼽았다. 첫째, 공격의 시작점이 과거 시스템 취약점 공격에서 계정 및 세션 탈취로 변화했다. 공격자는 탈취한 정상 계정을 통해 권한을 남용하므로 초기 침입 탐지가 매우 어렵다.

​둘째, 공격 도구 역시 악성코드 대신 원격 제어 프로그램, 시스템 관리 도구 등 정상적인 합법적 도구(Living off the Land)를 악용하는 사례가 늘고 있다. 김 대표는 "단순히 도구의 실행 여부가 아니라 누가, 언제, 왜, 무엇을 했는지 행위 기반의 분석이 필수적"이라고 강조했다.

​셋째, 랜섬웨어 공격의 최종 목표가 시스템 중단에서 데이터 유출 및 협박으로 바뀌었다. 데이터 유출이 먼저 발생하므로 백업만으로는 피해 복구가 불가능하다.

​넷째, 보안의 경계가 사내망을 넘어 클라우드(SaaS) 환경으로 확장되었다. 사내망에 침투하지 않고도 클라우드 상의 중요 정보를 대량 탈취하는 공격이 빈번해지고 있다.

​김 대표는 특히 AI가 이러한 공격 변화를 가속화하고 있다고 지적했다. 그는 "AI는 새로운 공격을 만들어내기보다 공격의 경제성을 획기적으로 높였다"며, "과거에는 불가능했던 대규모 맞춤형 피싱 공격이나 딥페이크를 통한 CEO 사칭 등이 AI를 통해 일상적인 공격이 되었다"고 설명했다.

​실제로 3초 분량의 음성 데이터만으로도 실제 인물과 동일한 목소리를 생성해 영상회의를 통해 거액을 송금하게 만든 사례가 국내외에서 발생하고 있다. 공격자는 AI를 개발 파트너처럼 활용하여 악성코드 제작 및 유포 과정을 자동화하고 있다.

​이러한 지능화된 위협에 맞서 김 대표는 새로운 보안 패러다임인 '보건력(Resilience) 중심의 보안'을 제안했다. 그는 "제로 트러스트 환경과 사람의 실수로 인해 침해 사고를 완벽하게 막는 것은 불가능하다"며, "침해 자체를 막는 것보다 침해를 빠르게 발견하고, 확산을 차단하며, 신속하게 복구하는 대응 역량을 갖추는 것이 핵심 경쟁력"이라고 역설했다.

​이를 위해 김 대표는 ▲모든 활동의 기록(Logging)을 통한 가시성 확보 ▲정상 행위 속 이상 징후 탐지 능력 강화 ▲사람의 실수를 시스템적으로 보완하는 프로세스 구축 ▲반복적인 침해 사고 대응 훈련 등을 필수 요건으로 제시했다.

​마지막으로 그는 "AI 시대의 보안은 한 번도 사고를 당하지 않는 완벽함을 추구하는 것이 아니라, 위협이 들어왔을 때 어떻게 대응하고 비즈니스를 지속할 것인가에 달려있다"고 덧붙였다.

#AI 보안#사이버 공격#랜섬웨어#제로 트러스트#피싱#딥페이크#플레인비트#김진국
백남정
백남정 기자

공학박사 ·ISMS-P 선임심사원(30회) · CBPR 심사원· 숭실대 기업재난관리학과 석사 · 재해경감 인증심사원 · 개인정보보호 및 재해복구 전문 컨설턴트. LH공사 재해경감우수기업 인증심사 수행. 마이데이터 심사원(개인정보 지정기관 심사원)

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사