 |
탈레스는 '2026 데이터 위협 보고서'를 통해 기업들이 AI 기술 혁신을 가장 큰 보안 과제로 인식하고 있다고 12일 밝혔다.
이번 조사에 따르면 한국 기업 응답자 74%는 AI를 가장 큰 데이터 보안 위험 요소로 꼽았다. 이는 악의적인 AI 활용에 대한 우려뿐 아니라 AI가 기업 시스템에서 '신뢰받는 내부자' 역할을 수행하며 데이터 접근 권한을 갖게 되는 점에 대한 경계가 커지고 있다는 점을 보여준다.
기업들이 워크플로 관리, 데이터 분석, 고객 서비스, 소프트웨어 개발 파이프라인 등 다양한 영역에 AI를 도입하면서 AI 시스템은 기업 데이터에 대한 접근 권한을 확보하고 있다. 일부 환경에서는 인간 사용자보다 AI 시스템에 적용되는 보안 통제가 느슨한 사례도 나타나고 있다.
세바스티앵 카노 탈레스 사이버보안 제품 총괄 부사장은 "내부자 위협은 더 이상 사람에게만 국한되지 않는다"며 "신원 거버넌스나 접근 통제 정책, 암호화 체계가 취약할 경우 AI는 인간보다 훨씬 빠른 속도로 IT 환경 전반에 걸쳐 취약점을 확대할 수 있다"고 말했다.
보고서는 AI 도입 속도에 비해 기업의 데이터 통제 역량이 뒤처지면서 보안 공백이 확대되고 있다고 지적했다. 한국 기업 가운데 전체 데이터 위치를 정확히 파악하고 있는 곳은 29%에 불과했다. 중요도와 관계없이 데이터를 완전히 분류할 수 있는 기업도 39% 수준에 그쳤다. 민감한 클라우드 데이터 47%가 암호화되지 않은 상태로 남아 있는 것으로도 나타났다.
AI가 클라우드와 서비스형소프트웨어(SaaS) 환경 전반에서 데이터를 수집·처리하면서 데이터 가시성 확보도 어려워지고 있다. 이는 최소 권한 접근(least-privilege access) 원칙 적용을 어렵게 만들어 자격 증명이 유출될 경우 데이터 노출 범위를 확대시킬 수 있다.
이와 함께 신원 인프라 역시 주요 공격 표면으로 떠오르고 있다. 클라우드 공격을 경험한 기업 67%는 클라우드 관리 인프라 공격의 주요 기법으로 자격 증명 탈취를 지목했다. 기업 절반 가량은 '시크릿 관리(secrets management)'를 핵심 애플리케이션 보안 과제로 꼽으며 API 키와 토큰, 머신 아이덴티티 관리 복잡성이 커지고 있다고 응답했다.
사이버 공격자들의 AI 악용 사례도 증가하고 있다. 조사 결과 기업 약 60%가 딥페이크 기반 공격을 경험했고, 51%는 AI가 생성한 허위 정보나 사칭 캠페인으로 인해 평판 피해를 입은 것으로 나타났다.
AI는 새로운 위협을 만들어내는 동시에 기존 보안 위험도 증폭시키고 있다. 현재 전체 보안 침해 사고 28%가 인적 오류에서 발생하는데 자동화 기술이 결합될 경우 작은 실수도 빠르게 확산될 가능성이 높다는 분석이다.
기업 보안 투자 확대 속도는 AI 확산을 따라가지 못하는 상황이다. 한국 기업 가운데 33%만이 AI 보안 전용 예산을 편성하고 있고 45%는 기존 보안 예산에 의존하고 있는 것으로 조사됐다.
에릭 한셀만 S&P 글로벌 마켓 인텔리전스 451 리서치 수석 애널리스트는 "AI가 기업 운영 전반에 깊숙이 통합되면서 데이터 가시성과 보호는 선택이 아닌 필수가 됐다"며 "기업들은 데이터 보안을 혁신과 분리된 문제가 아니라 혁신을 가능하게 하는 핵심 기반으로 인식해야 한다"고 강조했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
