인공지능(AI)이 핵심 인프라에 빠르게 통합되면서 심각한 보안 위협 환경이 조성되고 있다고 사이버보안 전문가들은 2025년 5월 17일 발간된 최신 RISKS Forum Digest에서 경고했다.
세계경제포럼(WEF)이 발표한 '2025 글로벌 사이버보안 전망'에 따르면, 조직의 66%가 AI를 올해 사이버보안 판도를 바꿀 가장 중요한 요소로 꼽았지만, 실제로 AI 도구를 도입 전 평가하는 보호 조치를 마련한 곳은 37%에 불과하다. 이처럼 인식과 실천 사이의 괴리는 산업 전반에 중대한 취약점을 초래하고 있다.
영국 국가사이버보안센터(NCSC) 대변인은 최신 보고서에서 "AI 기반 위협에 발맞추지 못하는 조직과 시스템은 공급망 내 추가적인 취약점 노출 및 악용의 지점이 될 위험이 있다"고 경고했다. NCSC는 2027년까지 AI를 활용한 공격자들이 취약점 발견과 악용 사이의 시간을 더욱 단축할 것으로 전망했다. 이미 이 시간은 불과 며칠로 줄어든 상태다.
사이버보안 전문가들은 특히 대형 언어모델(LLM)을 겨냥한 프롬프트 인젝션 공격에 우려를 표하고 있다. 최근 보안 연구진이 인용한 침투 테스트 사례에서는, 한 양초 판매점의 AI 챗봇이 프롬프트 엔지니어링을 통해 침해되어 보안, 안전, 비즈니스 리스크가 발생했다. 이 공격으로 시스템 데이터가 유출되고 챗봇의 응답이 조작되는 등, 겉보기엔 무해해 보이는 AI 도입도 심각한 보안 위협이 될 수 있음을 보여줬다.
공급망 취약점 역시 주요 우려사항이다. 대기업의 54%가 공급망 취약점을 사이버 회복력 확보의 최대 장애물로 꼽았다. 공급망의 복잡성 증대와 공급업체 보안 관행에 대한 제한된 가시성으로 인해, AI 시스템이 서드파티 부품을 통해 침해될 위험이 커지고 있다.
2025년에는 자율적으로 의사결정과 복잡한 작업을 수행하는 '에이전틱 AI'의 등장이 위협 환경을 근본적으로 변화시킬 전망이다. 시스코 산하 Splunk의 인공지능 부문 부사장 하오 양(Hao Yang)은 "이전에는 사용자의 프롬프트에 응답하는 AI 어시스턴트에 집중했다면, 이제는 독립적으로 의사결정과 복잡한 작업을 수행하는 에이전틱 AI 도구를 주목하고 있다"고 설명했다.
전문가들은 조직이 공식적인 AI 보안 정책을 수립하고, 도입 전 위협 모델링을 실시하며, 공격 표면을 체계적으로 축소하고, 공급업체가 적극적인 보안 개선 프로그램을 운영하는지 확인할 것을 권고한다. 또한, 보안팀에 대한 지속적인 교육 역시 AI 기반 공격이 기존 방어 체계를 뛰어넘어 진화함에 따라 필수적이다.
RISKS Forum의 한 보안 연구원은 "이제는 AI 기반 공격에 대응하는 것만이 아니라, 우리 자체의 AI 시스템이 주요 공격 표적이 되고 있음을 인식해야 한다"고 강조했다.