[팩트UP=정도현 기자]한국 기업의 74%가 AI를 최대 데이터 보안 위험으로 간주하는 것으로 조사됐다.
탈레스(Thales)의 ‘2026 데이터 위협 보고서’에 따르면 20개 시장과 17개 산업에 걸친 기업들은 인공지능(AI)이 주도하는 빠른 혁신 속도를 현재 직면한 가장 큰 보안 과제로 지목했다.
S&P 글로벌 마켓 인텔리전스 451 리서치가 수행한 본 보고서의 연구 결과에 의하면 한국 응답자의 74%가 AI를 최대 데이터 보안 위험으로 꼽았다. 악의적인 AI에 대한 우려는 물론이고, AI가 단순한 도구를 넘어 ‘신뢰받는 내부자(trusted insider)’로 자리 잡으며 확보되는 광범위한 접근 권한에 대한 우려도 커지고 있다.
기업들이 AI를 워크플로, 데이터 분석, 고객 서비스 및 개발 파이프라인에 통합함에 따라 AI 시스템은 기업 데이터에 대해 광범위하고 자동화된 접근 권한을 확보하고 있다. 특히 기업 환경에서 인간 사용자보다 AI에 적용되는 보안 통제가 오히려 더 느슨한 경우도 빈번하게 발생하고 있다.
세바스티앵 카노 탈레스 사이버 보안 제품 총괄 부사장은 “내부자 위협은 더 이상 사람에게만 국한되지 않으며, 섣불리 신뢰를 부여받은 자동화 시스템 역시 위험 요소로 작용한다”며 “신원 거버넌스, 접근 통제 정책 또는 암호화 체계가 취약할 경우 AI는 그 어떤 인간보다도 훨씬 빠른 속도로 IT 환경 전반에 걸쳐 이러한 취약점을 증폭시킬 수 있다”고 경고했다.
보고서는 기업의 AI 도입 속도를 데이터 통제 역량이 따라가지 못하면서 심각한 보안 공백이 발생하고 있다고 지적했다. 전체 데이터의 위치를 파악하고 있는 기업은 한국의 경우 29%에 불과하며, 중요도 수준에 무관하게 데이터를 완전히 분류할 수 있는 기업은 39%에 그쳤다. 한편 민감한 클라우드 데이터의 절반에 가까운 47%가 여전히 암호화되지 않은 상태로 방치되어 있는 것으로 나타났다.
AI 시스템이 클라우드 및 서비스형 소프트웨어(SaaS) 환경 전반에서 데이터를 수집하고 처리함에 따라 데이터 가시성이 제한되고 있다. 이는 결과적으로 엄격하게 업무에 필수적인 접근 권한만 부여하는 최소 권한 접근(least-privilege access) 원칙의 적용을 어렵게 만들며, 때문에 자격 증명 유출 시 데이터 노출 범위를 확대시킨다.
이에 따라 신원(Identity) 인프라가 주요 공격 표면으로 대두되고 있다. 클라우드 공격을 경험한 기업의 67%가 클라우드 관리 인프라에 대한 주요 공격 기술로 자격 증명 탈취를 꼽았다. 동시에 기업의 50%는 ‘시크릿 관리(secrets management)’를 최우선 애플리케이션 보안 과제 중 하나로 지목했으며, 이는 머신 아이덴티티, 애플리케이션 프로그래밍 인터페이스(API) 키 및 토큰에 대한 대규모 거버넌스의 복잡성이 날로 증가하고 있음을 방증한다.
기업들이 AI 도입에 박차를 가하는 만큼 사이버 공격자들도 AI를 적극 악용하고 있다. 기업의 약 60%가 딥페이크 기반의 공격을 경험했으며, 51%는 AI가 생성한 허위 정보나 사칭 캠페인으로 인해 기업 평판에 타격을 입은 것으로 조사됐다.
AI는 새로운 보안 위협을 초래할 뿐만 아니라 기존의 위협 요소들까지 증가시킨다. 전체 보안 침해 사고의 28%가 이미 인적 오류에서 비롯되고 있는 상황에서 여기에 자동화 역량이 결합될 경우 사소한 실수조차 훨씬 더 빠르고 광범위하게 확산될 위험이 있다.
기업들은 변화에 대한 적응의 필요성을 인식하고 있으나 보안 투자는 AI 기반 접근 및 자동화의 급격한 확산 속도를 따라잡지 못하고 있다. 현재 33%의 기업이 AI 보안 전용 예산을 편성하며 경각심을 높이고 있다. 그러나 여전히 절반에 가까운 45%의 기업은 인간 사용자와 네트워크 경계(perimeter) 기반 통제에 맞춰 구축된 전통적인 보안 프로그램에 의존하고 있는 실정이다. 머신이 점차 자율적으로 인증을 수행하고 시스템에 접근하여 작동하는 방식으로 변화하고 있음에도 상당수의 기업 보안 전략은 아직 이러한 운영 모델 변화를 수용하지 못하고 있다.
에릭 한셀만 S&P 글로벌 마켓 인텔리전스 451 리서치 수석 애널리스트는 “AI가 기업 운영 전반에 깊숙이 내재화됨에 따라 지속적인 데이터 가시성 확보와 보호는 더 이상 선택이 아닌 필수”라며 “기업들은 데이터 보안 전략을 혁신과 분리된 것이 아닌 혁신의 핵심 기반으로 삼아야 한다”고 강조했다.
