이서윤 | 사법연수원 교수·판사
집 안에 도둑이 숨어들었는데도 몇 년간 알아차리지 못했다면? 영화 ‘기생충’이 아닌, 2025년 에스케이(SK)텔레콤 정보 유출 사건 이야기다. 해커는 4년에 가까운 기간 동안 기업 내부망에 침투하여 2천만건이 넘는 가입자 식별 정보를 빼내 갔다. 침입 사실을 탐지하고 차단할 시간이 충분히 있었음에도 이를 막지 못했다는 사실은 피해자들을 허탈감에 빠지게 한다. 그나마 이렇게 장기간 잠복을 수반하는 공격은 이를 탐지하고 방어할 시간이라도 있다. 하지만 최근 들어 등장한 인공지능(AI) 기반 해킹 공격은 사이버 보안의 판도를 뒤흔들고 있다. 인공지능을 이용해 예전과는 비교도 할 수 없는 속도로 취약점을 빠르게 분석하고 악용하는 것이 가능해졌기 때문이다. 기존의 해킹은 취약점 탐지부터 공격에 나아가는 데까지 상당한 시간과 전문성을 필요로 했던 반면, 인공지능은 과정 일부 또는 전부를 자동화하여 코드 수백만줄을 검토하고, 잠재적 취약점을 찾아내며, 공격 스크립트를 작성하는 작업을 불과 몇 시간 만에 수행해낸다. 보안업계가 최근 가장 주목하는 지표는 티티이(TTE·Time-to-Exploit), 즉 어떤 프로그램이나 웹사이트의 취약점이 공개된 뒤 실제 공격에 악용되기까지 걸리는 시간이다. 구글 산하 보안조직인 맨디언트는 2018년에 63일이 걸리던 평균 티티이가 인공지능 상용화 후인 2024년에는 -1일, 2025년에는 -7일에 도달한 것으로 추정했다. 취약점이 공개되기 일주일도 전에 이미 공격이 시작된다는 말이다.
심지어 지난 5월 구글 위협 인텔리전스 그룹(GTIG)은 인공지능이 활용된 제로데이 공격 사례를 최초로 확인했다고 발표했다. 이는 유명한 사이버범죄 집단이, 널리 쓰이는 오픈소스 시스템 관리도구의 이중 인증을 우회하는 취약점을 찾아내 무기화한 공격이었다. 연구자들은 코드에서 발견된 환각의 정도나 지나치게 교과서적인 문서화 방식 등을 근거로 인공지능의 개입을 높은 확률로 추정했다. 해당 공격은 인공지능이 단순히 코드를 분석하는 수준을 넘어, 인증 절차에 내재된 논리적 결함을 식별하는 단계에 이르렀음을 보여주었다는 점에서 더욱 주목된다.
북한, 중국, 러시아와 연계된 위협그룹들은 이미 인공지능을 활용하여 취약점을 발굴하거나, 악성코드 개발과 정찰을 자동화하고 있다. 어떤 악성코드는 인공지능을 통해 스마트폰 화면을 실시간으로 이해하고 사용자의 행동을 모방하며, 인증 절차 이후의 권한을 악용해 금융 거래나 정보 탈취를 수행한다.
이런 환경에서 사이버 위협에 대처하는 것은 더욱 까다로울 수밖에 없다. 공격자는 한번만 성공하면 되지만, 방어자는 매번 성공해야 하기 때문이다. 공격자가 인공지능을 활용해 취약점 분석 시간을 며칠에서 몇 시간으로 줄이면, 방어자는 동일한 보안 수준을 유지하기 위해 훨씬 빠른 대응 체계를 구축해야 한다. 다행인 것은 방어자 역시 인공지능을 활용할 수 있다는 점이다. 나름의 무기 대등이랄까. 앤트로픽의 프로젝트 글라스윙, 우리나라의 프로젝트 캐노피는 인공지능이 보안에 활용되는 대표적 예다.
이제 보안업계가 경쟁해야 할 대상은 해커의 기술력뿐만이 아니라 그들이 활용하는 인공지능의 속도다. 인공지능이 공격의 속도를 높이고 있다면, 국가와 기업 역시 그에 맞는 대응 역량을 갖추어 시민의 안전을 보장해야 한다. 또한 공격 수법이 정밀·고도화되었다는 이유로 기업의 책임을 가볍게 해야 한다는 주장을 경계해야 한다. 오히려 새로운 환경에 상응하는 보안 기준과 컴플라이언스 체계를 적극적으로 마련해야 할 때다.