EY는 언스트앤영글로벌유한회사(Ernst & Young Global Limited) 조직, 또는 하나 이상의 멤버 법인을 지칭할 수 있으며, 각 멤버 법인은 서로 독립적인 법인입니다. 언스트앤영글로벌유한회사는영국의 보증책임 유한회사로 고객사에게 서비스를 제공하지 않습니다.
AI 기술이 빠르게 확산되면서 사이버 위협의 양상과 범위가 근본적으로 변화하고 있습니다. 이에 따라, 기업은 이러한 구조적 변화에 능동적으로 대응하기 위해 AI 활용 전 단계에 걸친 통제·관리 체계를 마련해야 할 필요성이 커지고 있습니다.
In brief
- AI 확산으로 사이버위협은 저비용·고속·대량화되며, 공격의 중심축이 단순 시스템 침해에서 AI 판단·결과 왜곡으로 확대되고 있습니다.
- 국내외 기업의 보안 투자는 기존 개별 솔루션 중심에서 전사적 보안 프로세스 고도화로 재편되고 있습니다.
- 기업 내 AI 활용 속도가 그 어느 때보다 빠르게 증가하면서, 이에 상응하는 책임·통제·가시성·거버넌스 기반의 보안체계를 선제적으로 구축해야 합니다.
최근 AI가 기업 운영 전반에 빠르게 스며들면서 사이버보안은 기존과는 본질적으로 다른 패러다임으로 전환되고 있습니다. 과거에는 시스템 침해와 데이터 유출이 주요 보안 이슈였다면, 이제는 AI 모델의 판단오류, 데이터 오염, 프롬프트 조작 등과 같은 비침해형 위험이 새로운 중심 위협으로 떠오르고 있습니다. 실제로 최근 1년간 기업 경영진은 AI 취약점 리스크를 가장 빠르게 증가하는 보안 위험으로 인식하고 있으며, 이는 공격의 초점이 단순한 권한 탈취가 아닌 의사결정 흐름의 왜곡과 자동화 프로세스의 교란으로 이동하고 있음을 보여줍니다.
AI 기반 공격은 비용이 낮고 속도가 빠르며 대량 확산이 가능하다는 점에서 기존의 공격 방식과 뚜렷하게 구분됩니다. 자동화된 취약점 탐색, 악성 메시지의 대량 생성, 공격용 콘텐츠의 저비용 생산 등은 전문성이 낮은 공격자들도 손쉽게 공격을 시도할 수 있는 환경을 만들고 있습니다. 더 큰 문제는, 하나의 잘못된 모델 판단이 API와 여러 자동화 시스템을 통해 내부 업무 프로세스와 외부 서비스로 연쇄적으로 확산될 수 있다는 구조적 특성에 있습니다. 따라서, AI 시스템의 연결성과 자동화 수준이 높아질수록, 단일 오류가 조직 전체 운영과 신뢰도에 미치는 영향은 기하급수적으로 커지고 있습니다.
글로벌 기업들은 이러한 변화에 대응하기 위해 조기 탐지·상시 모니터링·선제적 리스크 관리를 핵심 우선순위로 설정하고, 보안 역량 강화를 위해 파트너십 체결, M&A, 자체 기술 내재화 등 다양한 전략을 적극적으로 추진하고 있습니다. 더불어 조직 차원에서는 CISO 권한 강화, AI 사용 승인체계 정비 등을 통해 보안 거버넌스를 재편하며 대응 체계를 고도화하고 있습니다.
반면 국내 상황은 침해 사고의 규모가 지속적으로 증가하고 있으나, AI 기반 보안 대응은 아직 초기 단계에 머물러 있습니다. 숙련된 보안 인력 부족, 파편화된 솔루션 구조, 보안 예산 제약, 외부 AI 사용에 대한 통제 부재 등이 복합적으로 작용해 AI 관련 리스크 대응 역량이 충분히 확보되지 못한 상황입니다.
이에 EY 한영 산업연구원은 국내 기업을 대상으로 다음과 같은 시사점을 제시합니다. 기업은 우선 현재 보안 관리 수준을 점검하고 업무 영역별 AI 활용 기준을 명확히 마련해야 합니다. 또한 AI 보안 리스크를 효과적으로 관리하기 위해 권한·사용·책임 구조를 재정비하고, 모델·데이터·사용 방식 변화에 따라 리스크가 달라지는 AI 시스템 특성에 맞춰 상시 검증·모니터링 체계를 구축해야 합니다. 이러한 조치는 AI 시대에 기업이 지속 가능한 보안역량과 경쟁력을 확보하기 위한 필수 기반입니다.
요약
- AI의 확산은 사이버보안의 개념과 범위를 근본적으로 변화시키고 있습니다. 공격 방식은 더욱 자동화되고 정교해지고 있으며, AI 모델의 판단 오류가 조직 전체 리스크로 빠르게 증폭되는 구조적 위험도 증가하고 있습니다.
- 기업은 AI 활용 속도에 대응하도록 관리수준을 정비하고, 책임 구조와 통제 기준을 명확히 하며, AI 시스템을 지속적으로 검증·모니터링하는 체계를 갖추는 것이 필수적입니다.