정상 권한 악용·좀비 API·섀도우 AI가 만든 새 침입로
기술 아닌 구조·책임의 문제
 |
신한카드서 가맹주 개인정보 19만건 유출 |
(서울=연합뉴스) 심재훈 기자 = 최근 유통, 항공, 금융 등 업종을 불문하고 연이어 터진 개인정보 유출 사고의 본질은 단순하다.
더 이상 거창한 '외부 침입'만이 문제가 아니라는 점이다.
과거처럼 방화벽을 무력화하고 침투하는 전통적 해킹뿐만 아니라, 합법적 권한을 가진 내부자가 정보를 빼내거나, 외부에서 탈취한 계정으로 유유히 정문을 통과하는 사례가 빈번해졌다.
공격자들은 굳게 닫힌 문을 부수기보다 훔친 열쇠로 문을 열거나, 관리 소홀로 방치된 뒷문(API)을 노린다.
보안 전문가들은 이를 '보안 위협의 질적 전환'으로 규정한다.
인공지능(AI) 시대, 데이터가 곧 자산이 되면서 기업 시스템은 비대해졌고 복잡성은 극에 달했다.
자동화된 공격 도구와 무한 연결, 그리고 데이터 확보 경쟁이 빚어낸 '상시 유출 사회'의 이면을 짚어봤다.
◇ 뚫린 게 아니라 열렸다…'크리덴셜 스터핑'의 습격
최근 발생한 사고들의 로그를 분석해보면 시스템상으로는 지극히 '정상적인 접속'인 경우가 많다. 이른바 '크리덴셜 스터핑(Credential Stuffing)' 공격이다.
과거 사람이 일일이 입력하던 방식과 달리 AI 봇(Bot)은 초당 수천 번의 로그인을 시도하며 이용자 대다수가 여러 사이트에서 동일한 비밀번호를 쓰는 습관을 집요하게 파고든다.
보안 관제 현장에서는 주요 온라인 서비스 로그인 시도의 상당수가 사람이 아닌 봇 트래픽일 것으로 추정한다.
 |
"개인정보 3천개만 유출" 쿠팡 자체 발표 경위는 |
문제는 시스템 입장에서 이를 공격으로 식별하기 어렵다는 점이다. '정상적인 열쇠'를 가지고 들어오는 셈이니, 보안벽이 뚫린 게 아니라 인증 체계가 우회된 것이다.
G마켓 역시 전산망 해킹보다는 외부에서 탈취된 계정 정보가 도용된 정황이 보인다.
겉으로는 모두 '유출'이지만, 그 내막은 계정 탈취, 내부 통제 실패, 시스템 취약점 등 다층적으로 갈라져 있다.
◇ 관리 안 된 뒷문 '좀비 API'와 '섀도우 AI'
폐쇄적인 내부 서버에 데이터를 가두던 시절은 지났다. 클라우드, SaaS(서비스형 소프트웨어), 외부 AI 모델과 데이터를 실시간으로 주고받는 것이 뉴노멀이 됐다.
이 과정에서 시스템 간 대화 창구인 API(응용프로그램 인터페이스)가 기하급수적으로 늘어났다.
문제는 개발 속도전에 밀려 보안 점검 없이 생성되거나, 프로젝트 종료 후에도 삭제되지 않고 방치된 '좀비 API'다.
 |
국내외 사이버공격 모니터링 |
글로벌 보안 업계에 따르면 악성 API 트래픽의 약 30%가 문서화되지 않은 '섀도우 API'를 노린다. 기업조차 자사 시스템에 문이 몇 개인지, 어디에 달려있는지 파악하지 못하는 '보이지 않는 위협'이 해커들의 주 침투 경로가 되고 있다.
여기에 임직원이 회사 승인 없이 생성형 AI를 업무에 쓰는 '섀도우 AI' 문제도 심각하다.
기밀문서를 요약하려 외부 AI에 입력하는 순간, 해당 정보는 기업의 통제권을 벗어나 외부 클라우드 어딘가에 저장된다. 데이터의 흐름을 추적할 수 없다는 것 자체가 치명적인 보안 구멍이다.
◇ "데이터는 땔감"… 멈출 수 없는 연결의 딜레마
기업들도 위험을 인지하고 있다. 하지만 '보안'을 이유로 '연결'을 끊기엔 AI 경쟁이 너무 치열하다.
AI 성능은 데이터의 양과 질에 비례한다. "더 많은 데이터를, 더 빠르게 연결하라"는 경영진의 주문 앞에서 보안팀의 경고는 종종 뒷전으로 밀린다.
 |
통신 3사 덮친 해킹 공포 |
데이터 파이프라인이 복잡해지면서 책임 소재도 희석됐다.
수집(A사), 저장(B사 클라우드), 분석(C사 솔루션)으로 주체가 쪼개지며, 사고 발생 시 책임 공방으로 골든타임을 놓치는 일이 다반사다. 기술은 초연결 시대로 진입했지만, 책임은 파편화된 모순적 상황인 셈이다.
◇ 유출된 조각 정보, AI 만나 '범죄 시나리오' 완성
유출 이후의 파장은 더 크다. 과거 스팸 문자 수준에 그쳤던 2차 피해는 생성형 AI와 결합해 진화했다.
다크웹에 떠도는 이름, 주민등록번호, 카드 번호, 쇼핑 목록 등 파편화된 정보들이 AI를 통해 하나의 거대한 '프로파일'로 재조립된다.
 |
롯데카드 본사에 마련된 카드센터 상담소 |
AI는 이 조각들을 맞춰 정교한 피싱 문구는 물론, 가족의 목소리를 흉내 내는 딥보이스 시나리오까지 생성한다. 개인정보 보호 분야에서 우려하는 '모자이크 효과'가 현실화된 것이다. 수사 당국이 단편적 유출보다 '결합된 데이터'의 위험성을 더 높게 보는 이유다.
◇ '경계'에서 '검증'으로… 제로 트러스트가 답이다
전문가들은 "이제 '경계 보안'의 유효기간은 끝났다"고 입을 모은다.
방화벽만 높이는 식의 대응은 한계에 봉착했다. 대안은 '제로 트러스트(Zero Trust)'다. "아무도 믿지 말라, 그리고 끊임없이 검증하라"는 원칙이다.
한 번 로그인했다고 해서 시스템 전체를 누비는 '프리패스'는 없다. 사용자와 기기, 데이터의 맥락을 실시간으로 검증하고 권한을 최소화하는 '마이크로 세분화'가 핵심이다.
 |
쿠팡 상황은? |
결국 AI 시대의 보안은 기술이 아닌 거버넌스(지배구조)의 문제다.
CEO가 보안을 비용이 아닌 생존을 위한 필수 투자로 인식하고, 데이터의 전체 흐름을 조망할 컨트롤타워를 세워야 한다.
정부 규제 또한 사후 처벌 위주에서 설계 단계부터 보안을 내재화했는지 살피는 예방적 감독으로 전환해야 한다는 지적이다.
문단속만으로는 부족한 시대다.
누가 언제 왜 문을 열었는지, 데이터가 어떤 경로로 흘러갔는지 끊임없이 묻고 확인하는 시스템만이 AI 시대의 정보 유출을 막을 최소한의 방파제가 될 것이다.
president21@yna.co.kr
▶제보는 카카오톡 okjebo
▶연합뉴스 앱 지금 바로 다운받기~
▶네이버 연합뉴스 채널 구독하기
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
