??? ????? ?? ???? ??? AI ?? ???? ????? ???? ??. 에 대한 기사를 娇色导航또는 CISO가 아직 읽지 않았다면, 이를 회사 전체에도 공유할 필요가 있다. 수백만 달러를 절약하고, 잠재적으로는 훨씬 더 많은 비용을 아끼는 지침이 될 만하다. 이 사건에서 사기범들은 유튜브에 공개된 고위 경영진의 동영상과 음성을 바탕으로 재무 담당 직원을 속여 홍콩의 은행 계좌로 여러 건의 거래를 실행하도록 유도해 회사에 막대한 금전적 피해를 입혔다. 이들은 재무팀의 실제 직원을 놀라운 정도로 정확하게 모방했다. 이같은 현실 딥페이크 범죄는 지난 몇 년간 CIO와 CISO가 걱정해 온 것이다. AI 도구로 AI 사기 방지한때는 가설에 가까웠던 문제가 이제는 매우 현실적으로 다가오면서 CIO와 CISO가 매일 벌여야 하는 사기와의 전쟁에 대한 기준도 더 높아지고 있다. 해킹으로부터 네트워크를 보호하려면 정기적인 비밀번호 변경 요청 이상의 노력이 필요하다. 2단계 인증 관행만으로는 이제 충분치 않다. AI로 인해 발생하는 위협에 대응하려면 CIO와 CISO는 AI 기반 방어 조치를 세워야 한다. AI를 활용해 신원을 탐지 및 검증하고, 거래를 실시간으로 승인하는 최첨단 솔루션은 이런 정교한 공격에 대한 강력한 대응책을 제공한다. AI 기반 신원 관리 및 접근 제어 기술은 사이버 보안 조치를 강화하는 데 필수다. 모바일 암호화, 디바이스 원격 측정, AI 알고리즘을 활용하는 이런 솔루션은 딥페이크 및 모바일 인젝션 공격을 무력화해 직원, 파트너, 고객의 신원을 보호하는 데 효과적이다. 접근을 위한 사회 공학(Social engineering)위에서 언급한 해커들은 금전적 이익을 노리는 경우가 많지만, 하거나 단순히 회사의 평판을 떨어뜨리려는 목적을 갖는 경우도 있다. 일반적인 수법에는 피싱 이메일이나 회사 자격 증명을 훔치기 위해 고안된 사기성 소셜 미디어 메시지가 있다. 필자는 해커 그룹 와 스캐터드스파이더(Scattered Spider)가 MGM 리조트 인터내셔널과 시저스 엔터테인먼트에 가한 공격에 대해 썼다. 이 랜섬웨어 기반 범죄에서 해커들은 회원들의 운전면허증 정보가 포함된 데이터베이스를 해킹한 후 해당 기업에 현금 지불을 요구했다. 다만 이때는 AI 기반 딥페이크 기술이 사용되지 않았다. 오히려 사회 공학을 이용해 직원의 신원을 모방하고 이에 속은 IT 헬프데스크가 액세스 권한을 제공하는, 보다 단순한 접근 방식이었다. 이를 통해 알 수 있는 교훈은 일단 액세스 권한이 부여되면 이미 늦는다는 것이다. AI가 본격적으로 등장함에 따라 이런 공격은 더 일반화되고 심각해질 전망이다. 누구를 신뢰할 수 있을까?분산된 팀과 원격 근무자는 문제를 더 악화시킬 수 있다. 헬프데스크에서 육안으로 확인하더라도 모든 직원을 일일이 검증하기란 불가능하다. 비즈니스 파트너, 고객 및 서드파티 벤더까지 감안하면 문제는 더 심각해진다. 네트워크 및 데이터 액세스를 위해 신뢰 가능한 여러 서드파티와 협력할 수 있지만, 위험을 완화하기 위해 해당 업체 및 직원에 대해 더 자세히 알아야 할 수도 있다. 예를 들어 가짜 벤더의 음성으로 배송을 확정하거나 결제 지침을 확인하려고 할 수 있다. 조직 내 누군가가 해당 벤더를 만난 적이 있고 그 가짜를 진짜라고 믿는다면, 홍콩 재무 관리자가 그랬던 것처럼 기꺼이 계정 정보를 제공할 수도 있다. 그러면 어떻게 될까? 핵심은 자격 증명 관리, 직원 신원 확인, 액세스 제어 제한을 지원하는 AI 솔루션을 사용해 ‘현관문을 닫는 것‘이다. 일부 소프트웨어 제품은 이미 실시간 애플리케이션에서 행동 및 생체 신호를 결합해 신원 및 액세스 권한을 보장하고 있다. • 디지털 자산을 보호하라: AI를 활용해 소셜 미디어 같은 온라인 자산을 보호해야 한다. 인스타그램이나 페이스북과 같은 플랫폼에서 위조된 비즈니스 페이지가 증가하고 있기 때문에 매출, 평판 및 고객 신뢰에 대한 잠재적 손상을 방지하는 것이 중요하다.• 딥페이크 방어: AI 기반 실시간 신원 확인 도구는 사용자 신원을 확인해 안전한 거래와 계정 수정을 보장한다. 따라서 딥페이크 위협에 대응하는 데 필수적이다.• 모든 상호 작용의 유효성 검사: 신원 및 자격 증명 위조가 만연한 시대에 CIO와 CISO는 모든 거래와 신원 확인 프로세스의 무결성을 보장해야 한다. 최근 해커들은 라는 트로이 목마를 통해 저장된 생체 인식 인증 파일을 해킹하는 방법까지 찾아냈다. 다시 말해 지문이나 얼굴 스캔처럼 이전에 저장된 생체 인식이 공격에 취약하다는 사실이 밝혀졌기 때문에 다른 경각심을 불러일으켜야 한다. 이처럼 진화하는 위협에 대응하려면 신원 도용, AI 사기, 딥페이크 사기의 위험에 대한 포괄적인 교육이 필수적이다. 하지만 교육만으로는 충분치 않으며, 이 모든 것을 수동으로 처리하기도 어렵다. 사이버 범죄자들보다 앞서 나가기 위해서는 정교한 AI 기반 솔루션을 선제적으로 도입해야 한다. 문제는 준비가 됐는지 여부가 아니라 신원 확인 및 액세스 권한 부여를 위해 AI 기반 분석 솔루션을 얼마나 빠르고 효과적으로 도입할 수 있는지다. AI의 ‘고양이와 쥐 게임’은 이미 시작됐다. 준비됐는가? * Rick Grinnell은 글래스윙 벤처스(Glasswing Ventures)의 설립자 겸 매니징 파트너로, AI 기반 보안 및 엔터프라이즈 인프라 투자에 주력하고 있다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????