AI, 기업 보안 위협의 새 시대 여나

기사 제공처 : 아이티인사이트 / 등록기자: 최현웅 [기자에게 문의하기] /

해당 기사에 관련하여 문의하기에 남겨주시면 "최현웅"기자에게 전송됩니다

이름

연락처

- -

이메일

AI가 내부자 위협으로 떠오르는 이유

인공지능(AI)이 기업 혁신을 가속화하는 핵심 기술로 자리 잡으면서 동시에 예상치 못한 새로운 형태의 보안 위협으로 떠오르고 있다. 특히 AI 시스템이 기업 내부 데이터에 광범위하게 접근하는 구조가 만들어지면서, 전통적인 '내부자 위협'의 개념이 근본적으로 재정의되고 있다는 분석이 나왔다. 프랑스 기술 기업 탈레스(Thales)가 최근 발표한 '2026 데이터 위협 보고서(2026 Data Threat Report)'에 따르면, 한국 기업의 74%가 AI를 현재 조직이 직면한 가장 큰 데이터 보안 위험 요소로 인식하고 있는 것으로 나타났다.

이 보고서는 S&P 글로벌 마켓 인텔리전스 451 리서치(S&P Global Market Intelligence 451 Research)가 20개 시장과 17개 산업에 걸쳐 기업을 대상으로 수행한 광범위한 조사 결과를 기반으로 작성되었다. 보고서는 기업들이 업무 자동화, 데이터 분석, 고객 서비스, 개발 환경 등 다양한 분야에 AI를 빠르게 도입하면서 AI 시스템이 기업 내부 데이터에 광범위하게 접근하는 구조가 만들어지고 있다고 지적했다.

특히 일부 조직에서는 인간 사용자보다 AI 시스템에 적용되는 보안 통제가 더 느슨한 사례도 발생하고 있어 새로운 보안 위험이 확대되고 있다는 분석이다. AI는 전통적인 업무 방식에 깊숙이 침투하며 기업 활동의 효율성을 극대화하고 있다.

고객 서비스의 자동화를 통해 24시간 즉각적인 응대가 가능해졌고, 대규모 데이터 분석을 통해 과거에는 수개월이 걸리던 작업을 수 시간 내에 완료할 수 있게 되었다. 예측 모델링 개발에서도 AI는 인간 분석가가 놓칠 수 있는 패턴을 발견하며 막대한 시간을 절약하고 경제적 가치를 창출하고 있다.

그 결과, 기업의 많은 핵심 프로세스가 AI에 의존하는 체계로 전환되고 있으며, 이는 산업 전반의 구조적 변화를 의미한다. 그러나 이러한 기술 발전은 그 이면에 심각한 보안 위협을 동반한다.

한국 기업의 74%가 AI를 데이터 보안의 가장 큰 위험 요소로 인식하고 있다는 통계는 제조, 금융, 기술, 유통 등 대다수 분야에서 AI가 기존의 업무 체계를 변화시키며 동시에 발생한 보안 간극을 드러내는 결과다.

이는 단순히 기술적 문제가 아니라, 조직 전체의 보안 거버넌스와 데이터 관리 체계의 근본적인 재설계가 필요함을 시사한다. 탈레스 사이버보안 제품 총괄 부사장 세바스티앵 카노(Sebastien Cano)는 "내부자 위협은 더 이상 사람에게만 국한되지 않는다"며, "신뢰를 부여받은 자동화 시스템 역시 위험 요소가 될 수 있다"고 경고했다.

그는 "신원 거버넌스, 접근 통제, 암호화 체계가 취약한 환경에서는 AI가 인간보다 훨씬 빠른 속도로 취약점을 확산시킬 수 있다"고 덧붙이며 기업의 주의 깊은 시스템 설계 필요성을 재차 강조했다. 전문가들은 AI의 보안 위협 근본 원인을 크게 두 가지로 정리한다.

첫 번째는 AI가 업무 수행을 위해 광범위한 데이터 접근 권한을 부여받는다는 점이다. 업무 자동화 시스템이나 클라우드 환경에서 AI는 효과적인 분석과 학습을 위해 가능한 한 많은 데이터에 접근해야 한다.

이 과정에서 AI는 인간 사용자의 역할을 대폭 줄이는 대신, 더 방대하고 빠르게 데이터를 처리한다. 문제는 이러한 광범위한 접근 권한이 부여되는 과정에서 종종 보안 통제 기준이 느슨해진다는 점이다. 일부 기업에서는 AI 시스템의 효율성을 우선시하면서 보안 검증 절차를 간소화하거나 생략하는 사례도 보고되고 있다.

한국 기업의 보안 실태와 현실적 문제

두 번째는 AI가 자가 학습(self-learning)을 통해 예측할 수 없는 행동을 할 가능성이다. 특히 클라우드 환경에서 수집한 대량의 데이터를 학습한 AI가 어디까지 학습했는지, 그리고 이 학습의 결과가 실제 업무에서 어떻게 활용될지는 통제하기 어려운 문제로 남는다.

AI 모델이 학습 과정에서 민감한 정보를 내재화하고, 이를 예상치 못한 방식으로 출력하거나 활용할 가능성은 전통적인 보안 체계로는 방어하기 어려운 새로운 유형의 위협이다. 보고서는 또한 기업들이 AI 도입 속도에 비해 데이터 통제 역량을 충분히 확보하지 못하고 있다는 점을 주요 문제로 지적했다. 한국 기업 중 조직 내 전체 데이터의 위치를 정확히 파악하고 있다고 답한 기업은 29%에 불과했으며, 데이터를 중요도에 따라 완전히 분류할 수 있다고 응답한 기업도 39%에 그쳤다.

이는 데이터 관리와 보안 관리의 기본 전제인 '데이터 가시성(Data Visibility)'이 심각하게 결여되어 있음을 보여준다. 더욱 우려스러운 것은 클라우드 환경에 저장된 민감 데이터의 약 47%가 여전히 암호화되지 않은 상태로 관리되고 있다는 조사 결과다. 이는 AI 시스템이 클라우드 및 서비스형 소프트웨어(SaaS) 환경에서 대량의 데이터를 수집하고 처리하는 구조와 맞물리면서 심각한 보안 취약점을 만들어내고 있다.

암호화되지 않은 민감 데이터는 내부 시스템 침해나 AI 시스템의 오작동 시 즉각적인 유출 위험에 노출되며, 이는 기업의 평판과 법적 책임에 치명적인 영향을 미칠 수 있다. 이러한 통계는 AI 도입이 급속도로 진행되는 가운데 보안 솔루션과 보안 의식 수준이 동시에 성장하지 못하고 있음을 명확히 보여준다.

한국은 글로벌 차원에서 가장 높은 수준의 인터넷 보급률과 빠른 디지털 기술 채택률을 자랑하지만, 동시에 데이터 보안 및 통제 부분에서는 상대적으로 뒤처지고 있다는 평가를 받고 있다. 17개 산업을 아우른 탈레스 보고서는 한국의 AI 중심 산업 구조가 이러한 문제를 더욱 가속화할 위험이 있다고 경고했다.

특히 클라우드 기반 서비스 환경은 각기 다른 소프트웨어와 데이터베이스 간 연동성을 필수로 하는데, 이러한 연동 지점이 바로 보안 취약점의 주요 원인으로 작용할 가능성이 높다. 여러 시스템이 복잡하게 얽혀 있는 환경에서 AI가 데이터를 수집하고 처리하는 과정은 더욱 불투명해지며, 이는 보안 관리자들이 실시간으로 모니터링하고 통제하기 어려운 상황을 만든다. 이러한 상황에서 보안 전문가들은 구체적이고 실질적인 대책 마련을 촉구하고 있다.

가장 먼저 권고되는 것은 '최소 권한 접근(Least Privilege Access)' 원칙의 엄격한 시행이다. 이는 AI 시스템이 업무 수행 및 학습 과정에서 반드시 필요한 데이터에만 접근할 수 있도록 제한하는 것으로, 무분별한 데이터 접근을 원천적으로 차단할 수 있다.

최소 권한 접근 원칙은 전통적인 보안 개념이지만, AI 시스템에 적용할 때는 더욱 세밀한 설계가 필요하다. AI의 학습과 분석 목적에 따라 접근 권한을 동적으로 조정하고, 불필요한 권한은 즉시 회수하는 자동화된 거버넌스 체계가 구축되어야 한다.

이를 보완하기 위해 데이터 가시성을 높이기 위한 기술적 투자도 필수적이다. 현재 많은 기업이 데이터의 물리적 위치와 보유 상태를 명확히 파악하지 못한 상태에서 AI를 도입하는 사례가 빈번하며, 이는 보안의 구멍을 키우는 직접적인 요인으로 작용한다.

데이터 디스커버리(Data Discovery) 도구와 데이터 분류(Data Classification) 시스템을 도입하여 조직 내 모든 데이터의 위치, 유형, 민감도를 실시간으로 파악할 수 있어야 한다.

데이터 보안을 위한 실질적인 대책은 무엇인가

또한 신원 거버넌스(Identity Governance) 정책의 고도화도 필수적이다. AI 시스템에 접근 권한을 부여하기 전에 철저한 사전 검증이 이루어지도록 구조를 설계해야 하며, 사용 중인 클라우드 환경 및 SaaS 애플리케이션에도 강화된 인증 절차가 필요하다.

다중 인증(Multi-Factor Authentication), 역할 기반 접근 제어(Role-Based Access Control), 실시간 행동 분석(Behavioral Analysis) 등의 기술을 결합하여 AI 시스템의 비정상적인 활동을 조기에 탐지하고 차단할 수 있는 체계를 마련해야 한다. 암호화 체계의 강화 역시 시급한 과제다.

조사 결과 클라우드에 저장된 민감 데이터의 거의 절반이 암호화되지 않은 상태라는 점은 즉각적인 개선이 필요한 영역이다. 데이터 암호화는 저장 시(at rest)뿐만 아니라 전송 중(in transit), 그리고 사용 중(in use)에도 적용되어야 하며, 특히 AI가 처리하는 민감 데이터에 대해서는 더욱 강력한 암호화 기준을 적용해야 한다. 이러한 기술적 대책 외에도, 조직 문화와 관리 체계의 변화가 필요하다.

AI 도입 프로젝트를 기획하는 초기 단계부터 보안팀이 참여하여 보안 요구사항을 설계에 반영하는 'Security by Design' 접근이 필수적이다. 또한 AI 시스템의 활동을 주기적으로 감사하고, 학습 데이터의 출처와 품질을 검증하며, AI 모델의 의사결정 과정을 투명하게 관리하는 거버넌스 체계가 구축되어야 한다. 결국 보안은 기술적 장치뿐 아니라 관리적 측면에서도 구체적인 설계와 책임 의식이 요구된다.

AI 시스템에 대한 보안 정책을 수립하고, 이를 실행할 전담 조직을 구성하며, 정기적인 교육과 훈련을 통해 조직 구성원의 보안 인식을 제고하는 것이 중요하다. 또한 AI 관련 보안 사고 발생 시 신속하게 대응할 수 있는 인시던트 대응 계획(Incident Response Plan)을 사전에 마련해야 한다.

AI 시스템은 기업 내부의 효율성을 획기적으로 증가시킴과 동시에 새로운 보안 의제를 설정하고 있다. 특히 한국은 AI 개발과 도입의 초기 단계부터 보안 문제를 병행 관리하는 선진적 접근이 필요한 상황이다.

기업과 정부 모두 AI 보안의 심각성을 깨닫고 적절한 규제와 정책을 병행 추진해야 한다. 그렇지 않으면, 뛰어난 기술력에도 불구하고 데이터 보안 사고로 인해 고객과 파트너의 신뢰를 잃을 가능성이 크다. 탈레스의 보고서가 제시하는 데이터는 단순한 경고가 아니라, 한국 기업들이 직면한 현실을 정확히 반영하고 있다.

AI 기술이 가져오는 혁신의 혜택을 지속적으로 누리기 위해서는 보안이 선택이 아닌 필수 요소임을 인식해야 한다. 앞으로 AI 시대에서 기업의 경쟁력은 단지 기술을 얼마나 빠르게 도입하느냐가 아니라, 그 기술을 얼마나 안전하게 관리하고 통제하느냐에 달려 있다는 점을 모두가 명심해야 할 것이다.

김도현 기자

[참고자료]

vertexaisearch.cloud.google.com