공격 당연해져... 당했다고 질타하는 문화 이별해야
쏟아지는 무차별 공격에 기본 안된 중소기업 더 치명적
[보안뉴스 강현주 기자] ‘미토스 충격’으로 AI의 ‘물량전’ 위협이 부각되면서 해킹 사고 기업 제재 시 ‘성실실패’ 개념도 진화해야 한다는 인식이 확산되고 있다.
21일 보안 업계는 기업 보안 패러다임 뿐 아니라 ‘제재 패러다임’도 속도전과 물량전을 펼치는 AI 위협 시대에 걸맞게 정착돼야 한다고 지적했다.
[출처: 연합]
‘제재 패러다임’도 전환 필요... ‘상시’ 관리와 신속 복구로
포티넷의 ‘2026 글로벌 위협 환경 보고서’에 따르면 2025년 한 해동안 취약점 공개 후 평균 공격 시간이 전년 4.76일에서 24시간~48시간으로 대폭 단축됐다. AI 공격 도구가 다크웹에서 일반 소프트웨어처럼 판매되는 등 해킹 진입 장벽이 낮아졌다.
이처럼 기계의 속도로 물량전을 펼치는 AI 위협 시대에는 공격을 다 막는다는 것은 허상이다. 공격을 당했다고 질타하기보다는, 필연적으로 당한다는 것을 전제로 ‘회복력’에 집중해야 한다. 또 느린 의사결정을 수반하는 기존 보안패러다임도 더 이상 유효하지 않다.
이런 상황에서 처벌 중심 제재로는 사고 후 대응이 어렵다. 사고는 당했지만 보안에 최선을 다했다고 인정되는 ‘성실실패’ 개념도 수동으로 패치하던 시절을 기준으로 생각하면 맞지 않다. 또 합리적으로 세워진 기준들을 ‘명문화’함으로써 과징금 경감 등 제재 수위 결정에 투명하게 적용해야 한다는 목소리가 커진다.
이와 관련 개인정보보호위원회는 최근 대통령 주재 국무회의에서 발표한 ‘예방 중심 개인정보 관리체계 전환 계획’에서 관련 논의를 진행했다. ‘사고 후 처벌 중심’ 관리 패러다임에서 벗어나, 실질적인 위험 관리와 예방 투자를 유도하는 ‘사고 전 예방·관리’ 체계로의 전환을 추진한다는 내용으로 알려졌다.
김휘강 고려대학교 정보보호대학원 교수는 “과거에는 과징금 경감 사유로 알려진 취약점 패치 안내를 받고 이행했는지 등을 고려했는데, 이제는 알려진 취약점도 알려지지 않은 취약점도 AI가 빠른 속도로 찾아내고 바로 공격을 하는 시대이므로 ‘성실실패’라는 용어를 다시금 고려해야 하는 특이점에 도달했다”며 “상시 위험관리, 신속 복구 역량, 취약점 신고·공개제도(CVD·VDP) 등의 조치 여부를 인센티브 기준으로 삼아야된다는 공감대가 확산되고 있다”고 말했다.
김휘강 교수는 “비교적 보안 체계를 갖춘 대기업이라 해도 엄청난 물량의 공격을 펼치는 AI 위협을 기존 인력으로 다 막기는 거의 불가능해지고, 상황이 더 심각한 중소기업은 자포자기해버리는 사태를 막기위해서라도 인센티브를 다각적으로 살펴봐야 할 것”이라고 했다.
‘묻지마 해킹’ 기름 붓는 AI... 기계는 기계로
AI의 빠른 속도와 자동화, 해킹의 대중화는 공격의 수를 급격하게 늘리고 있다. 탈레스의 ‘2026 악성 봇 보고서’에 따르면 2025년 AI 기반 봇 공격은 전년 대비 12.5배 급증했다.
AI의 ‘물량전’는 그동안 공격자들의 관심을 비교적 적게 끌어온 중소기업들에게 더욱 치명적일 수 있다. AI가 빠른 속도로 알려지지 않은 취약점을 찾고 공격할 수 있게 된 동시에, 꼭 고난이도의 취약점이 아니더라도 알려진 취약점들도이 줄줄이 매우 빠르게 자동 공격을 할 수 있기 때문이다.
과거에는 적대국 정부 민감 정보나 경쟁사 기술 정보 탈취, 금전 탈취 등을 목적으로 주요 기관이나 대기업 등이 주요 타깃이었다. 하지만 해킹의 대중화로 ‘무차별’ 공격이 증가하고 있어 그동안 비교적 공격자들의 타깃에서 벗어났던 기업들이 더 큰 위기에 놓였다.
NSHC 위협분석 연구소가 2025년 취약점 악용 해킹 활동 419건을 분석한 결과, 공격 주체는 미식별 해킹 그룹이 86.4%로 압도적 비중을 차지했다. 중국 정부 배후 해킹 그룹이 9%로 2위다. 공격자가 특정 국가나 기업을 사전에 겨냥하기보다, 노출된 취약 자산을 자동 탐색해 무차별적으로 침투하는 방식이 표준 전술로 자리 잡았음을 의미한다. AI는 이 같은 전술에 기름을 붓는다.
글로벌 AI 기업들은 미토스처럼 AI 모델들의 취약점 탐지 능력이 뛰어난 AI 모델들은 경쟁적으로 내세우고 있다. 미토스는 시작에 불과하다.
이에 방어자들은 ‘상시’ 자산 식별과 모의해킹 체계를 갖춰야 한다는 게 전문가들의 견해다. 이를 효과적으로 구현하기 위해서는 방어자 역시 AI 에이전트 기반 보안이 필요하다는 지적이다. 기계의 속도와 물량에는 역시 기계로 방어해야한다는 얘기다.
김휘강 교수는 “AI는 수준이 높은 취약점도 낮은 취약점도 찾아내는 양이 압도적으로, 사람 담당자의 속도로는 상대할 수 없다”며 “기본조차 못갖춘 조직들은 이전에도 공격에 취약했지만 AI 시대에는 심화될 것이며, 이에 더욱 AI 자동화를 통해 보안 체계를 효율화할 필요가 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
쏟아지는 무차별 공격에 기본 안된 중소기업 더 치명적
[보안뉴스 강현주 기자] ‘미토스 충격’으로 AI의 ‘물량전’ 위협이 부각되면서 해킹 사고 기업 제재 시 ‘성실실패’ 개념도 진화해야 한다는 인식이 확산되고 있다.
21일 보안 업계는 기업 보안 패러다임 뿐 아니라 ‘제재 패러다임’도 속도전과 물량전을 펼치는 AI 위협 시대에 걸맞게 정착돼야 한다고 지적했다.
[출처: 연합]
‘제재 패러다임’도 전환 필요... ‘상시’ 관리와 신속 복구로
포티넷의 ‘2026 글로벌 위협 환경 보고서’에 따르면 2025년 한 해동안 취약점 공개 후 평균 공격 시간이 전년 4.76일에서 24시간~48시간으로 대폭 단축됐다. AI 공격 도구가 다크웹에서 일반 소프트웨어처럼 판매되는 등 해킹 진입 장벽이 낮아졌다.
이처럼 기계의 속도로 물량전을 펼치는 AI 위협 시대에는 공격을 다 막는다는 것은 허상이다. 공격을 당했다고 질타하기보다는, 필연적으로 당한다는 것을 전제로 ‘회복력’에 집중해야 한다. 또 느린 의사결정을 수반하는 기존 보안패러다임도 더 이상 유효하지 않다.
이런 상황에서 처벌 중심 제재로는 사고 후 대응이 어렵다. 사고는 당했지만 보안에 최선을 다했다고 인정되는 ‘성실실패’ 개념도 수동으로 패치하던 시절을 기준으로 생각하면 맞지 않다. 또 합리적으로 세워진 기준들을 ‘명문화’함으로써 과징금 경감 등 제재 수위 결정에 투명하게 적용해야 한다는 목소리가 커진다.
이와 관련 개인정보보호위원회는 최근 대통령 주재 국무회의에서 발표한 ‘예방 중심 개인정보 관리체계 전환 계획’에서 관련 논의를 진행했다. ‘사고 후 처벌 중심’ 관리 패러다임에서 벗어나, 실질적인 위험 관리와 예방 투자를 유도하는 ‘사고 전 예방·관리’ 체계로의 전환을 추진한다는 내용으로 알려졌다.
김휘강 고려대학교 정보보호대학원 교수는 “과거에는 과징금 경감 사유로 알려진 취약점 패치 안내를 받고 이행했는지 등을 고려했는데, 이제는 알려진 취약점도 알려지지 않은 취약점도 AI가 빠른 속도로 찾아내고 바로 공격을 하는 시대이므로 ‘성실실패’라는 용어를 다시금 고려해야 하는 특이점에 도달했다”며 “상시 위험관리, 신속 복구 역량, 취약점 신고·공개제도(CVD·VDP) 등의 조치 여부를 인센티브 기준으로 삼아야된다는 공감대가 확산되고 있다”고 말했다.
김휘강 교수는 “비교적 보안 체계를 갖춘 대기업이라 해도 엄청난 물량의 공격을 펼치는 AI 위협을 기존 인력으로 다 막기는 거의 불가능해지고, 상황이 더 심각한 중소기업은 자포자기해버리는 사태를 막기위해서라도 인센티브를 다각적으로 살펴봐야 할 것”이라고 했다.
‘묻지마 해킹’ 기름 붓는 AI... 기계는 기계로
AI의 빠른 속도와 자동화, 해킹의 대중화는 공격의 수를 급격하게 늘리고 있다. 탈레스의 ‘2026 악성 봇 보고서’에 따르면 2025년 AI 기반 봇 공격은 전년 대비 12.5배 급증했다.
AI의 ‘물량전’는 그동안 공격자들의 관심을 비교적 적게 끌어온 중소기업들에게 더욱 치명적일 수 있다. AI가 빠른 속도로 알려지지 않은 취약점을 찾고 공격할 수 있게 된 동시에, 꼭 고난이도의 취약점이 아니더라도 알려진 취약점들도이 줄줄이 매우 빠르게 자동 공격을 할 수 있기 때문이다.
과거에는 적대국 정부 민감 정보나 경쟁사 기술 정보 탈취, 금전 탈취 등을 목적으로 주요 기관이나 대기업 등이 주요 타깃이었다. 하지만 해킹의 대중화로 ‘무차별’ 공격이 증가하고 있어 그동안 비교적 공격자들의 타깃에서 벗어났던 기업들이 더 큰 위기에 놓였다.
NSHC 위협분석 연구소가 2025년 취약점 악용 해킹 활동 419건을 분석한 결과, 공격 주체는 미식별 해킹 그룹이 86.4%로 압도적 비중을 차지했다. 중국 정부 배후 해킹 그룹이 9%로 2위다. 공격자가 특정 국가나 기업을 사전에 겨냥하기보다, 노출된 취약 자산을 자동 탐색해 무차별적으로 침투하는 방식이 표준 전술로 자리 잡았음을 의미한다. AI는 이 같은 전술에 기름을 붓는다.
글로벌 AI 기업들은 미토스처럼 AI 모델들의 취약점 탐지 능력이 뛰어난 AI 모델들은 경쟁적으로 내세우고 있다. 미토스는 시작에 불과하다.
이에 방어자들은 ‘상시’ 자산 식별과 모의해킹 체계를 갖춰야 한다는 게 전문가들의 견해다. 이를 효과적으로 구현하기 위해서는 방어자 역시 AI 에이전트 기반 보안이 필요하다는 지적이다. 기계의 속도와 물량에는 역시 기계로 방어해야한다는 얘기다.
김휘강 교수는 “AI는 수준이 높은 취약점도 낮은 취약점도 찾아내는 양이 압도적으로, 사람 담당자의 속도로는 상대할 수 없다”며 “기본조차 못갖춘 조직들은 이전에도 공격에 취약했지만 AI 시대에는 심화될 것이며, 이에 더욱 AI 자동화를 통해 보안 체계를 효율화할 필요가 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
