인공지능(AI) 기술 발전으로 사이버 위협이 고도화되면서 관련 범죄 산업이 급성장하고 있는 가운데, 보안 사각지대를 해소하기 위한 국가 차원의 선제적 대응 전략이 필요하다는 목소리가 나왔다.

정보통신기획평가원(IITP)은 이달 발표한 'AI·ICT 브리프' 보고서를 통해 "전 세계 사이버 범죄 피해 규모가 지속적으로 증가하고 있다"며 "AI 보안 기술의 주도권 확보와 국가 차원의 회복 탄력성 강화를 위한 적극적인 선제 전략 수립이 필요하다"고 밝혔다.

보안 전문기업 사이버 시큐리티 벤처스에 따르면 올해 사이버 범죄로 인한 전 세계 손실액은 10조5000억달러(약 1경4338조원)로 추산된다. 손실액은 연평균 2.5%씩 증가해 오는 2031년에는 12조2000억달러(1경6659조원)에 달할 것으로 전망된다.

사이버 범죄 조직들은 IT 지원팀이라고 속여 악성 소프트웨어 다운로드를 유도하거나, 원격 접근 권한을 탈취해 네트워크를 정찰하면서 민감한 데이터를 빼내고 있다.

IITP는 "AI를 통한 보이스 피싱과 사칭 사례가 급증하고 있다"면서 "AI가 현지 억양을 완벽히 구현하고, 스크립트 기반 자동화 공격을 수행하면서 기존 소셜 엔지니어링 기법의 한계를 극복, 보안 위협을 탐지하는 게 훨씬 더 어려워졌다"고 진단했다.

보고서는 주요 위험 요소로 ▲윤리적 제약이나 안전 필터가 제거된 '언센서드 AI 모델' 악용으로 사이버 범죄 자동화 환경 조성 ▲서비스형 랜섬웨어(RaaS) 모델 확산으로 사이버 범죄 확대 ▲AI 에이전트를 이용한 대규모 자동화 공격과 '바이브 해킹' 현실화 가능성 증가 등을 꼽았다.

특히 오픈소스 AI 모델의 코드를 변조해 만든 웜GPT, 다크셋GPT, 프라우드GPT 등 다크웹 전용 AI 도구들이 본격적으로 등장하면서 악성코드 제작, 피싱 캠페인 설계, 공격 스크립트 생성 등을 자동화해 사이버 위협이 늘어나고 있다.

이러한 다크웹 범죄 전용 AI 도구들이 RaaS 형태로 거래되면서 랜섬웨어 공격 빈도와 피해 규모 또한 증가하는 추세다. 최근에는 '바이브 해킹'이라는 개념까지 등장해 비전문가도 기술적 지식 없이 정교한 공격을 수행하는 게 가능해졌다. 바이브 해킹은 AI에게 자연어로 해킹 작업을 지시하면 자동으로 실행되는 해킹 기술을 의미한다.

IITP는 "한국 기업의 AI 보안 대응 수준은 아직 부족한 상황"이라며 "보안 사각지대 축소를 위한 노력이 필요하다"고 강조했다.

이어 "AI 등장으로 사이버 보안 분야에서 새로운 위기가 조성됐지만, 보안 전문가들은 장기적으로 방어 측의 AI 활용 효과성을 더 높게 평가한다"며 "방어 역량이 공격보다 우수하다는 점을 고려할 때 기술 자체를 위협으로만 인식하기보다는 적극적으로 활용해 역량을 강화하는 게 더욱 효과적인 접근법이 될 것"이라고 제언했다.