2025년 사이버 보안 환경이 인공지능(AI) 기술의 발전과 함께 새로운 국면을 맞고 있다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 발표한 ‘2025년 상반기 사이버위협 동향’ 보고서에 따르면, AI를 악용한 새로운 형태의 사이버 공격이 급증하고 있으며, 특히 디지털 금융 서비스를 겨냥한 공격이 눈에 띄게 증가하고 있다고 분석됐다.
최근 KT 소액결제 무단 결제 사건을 계기로 과기정통부가 민관 합동 조사단을 구성한 것도 이러한 맥락에서 이해된다. 통신사 결제 시스템의 보안 취약점이 드러나면서 국가 차원의 체계적인 사이버 보안 대응 전략 수립의 필요성이 더욱 부각되고 있다.
보고서에 따르면 2025년 상반기 주요 사이버 위협으로는 △AI 기반 개인화된 피싱 공격 △딥페이크를 활용한 사회공학적 공격 △양자 컴퓨팅 위협에 대비한 암호화 기술 전환 압박 △클라우드 서비스 대상 공격 증가 등이 꼽혔다. 이는 기존의 단순한 해킹 방식을 넘어 보다 정교하고 지능적인 공격 형태로 진화하고 있음을 시사한다.
AI 악용 사이버 공격의 새로운 양상
2025년 들어 가장 주목받는 사이버 보안 위협은 AI 기술을 악용한 공격이다. 생성형 AI를 이용해 개인 맞춤형 피싱 메일을 대량 생성하거나, 딥페이크 기술로 CEO나 임원진의 음성을 모방해 직원들을 속이는 ‘음성 피싱 2.0’ 사건들이 급증하고 있다.
한 대기업에서는 실제로 딥페이크로 생성된 CEO의 음성을 통해 긴급 송금을 지시받은 직원이 수억 원을 이체하는 사건이 발생하기도 했다. 이러한 공격은 기존의 보안 교육으로는 대응하기 어려운 새로운 차원의 위협으로 평가된다.
정보보안 전문가들은 “AI 기술의 민주화로 인해 공격자들도 쉽게 고도화된 도구를 사용할 수 있게 됐다”며 “방어 측면에서도 AI 기반 보안 솔루션의 도입과 함께 인간의 판단력을 보완하는 새로운 보안 체계 구축이 필요하다”고 강조했다.
또한 ChatGPT 등 생성형 AI를 악용해 악성 코드를 자동 생성하거나 보안 취약점을 찾아내는 ‘자동화된 해킹’ 시도도 증가하고 있어, 기존 보안 솔루션의 탐지 능력으로는 한계가 있다는 지적이 나오고 있다.
디지털 금융 서비스 보안 강화 방안
최근 KT 소액결제 사건을 비롯해 디지털 금융 서비스를 노린 공격이 늘어나면서, 금융위원회와 과기정통부는 관련 보안 기준을 대폭 강화하기로 했다. 특히 간편 결제, 소액 결제 등 일상생활과 밀접한 서비스들의 보안 취약점이 사회 문제로 부각되고 있다.
새로운 보안 기준안에는 △실시간 이상 거래 탐지 시스템 의무화 △다단계 인증 강화 △결제 한도 실시간 모니터링 △사용자 행동 패턴 분석 기반 리스크 평가 등이 포함될 예정이다. 또한 통신사와 금융기관 간의 정보 공유 체계를 구축해 신속한 위험 대응이 가능하도록 할 방침이다.
금융보안원 관계자는 “디지털 금융 서비스가 일상화되면서 보안 위협도 진화하고 있다”며 “사용자 편의성을 해치지 않으면서도 강력한 보안을 제공할 수 있는 기술 개발과 제도 개선을 병행 추진하겠다”고 밝혔다.
또한 2025년 하반기부터는 모든 디지털 금융 서비스 제공업체에 대해 분기별 보안 점검을 의무화하고, 보안 사고 발생 시 24시간 내 신고를 의무화하는 방안도 검토 중이다.
한편, 양자 컴퓨팅 기술의 발전으로 기존 암호화 기술이 무력화될 가능성에 대비해 양자내성 암호 기술(PQC) 도입도 본격화되고 있다. 과기정통부는 2025년 말까지 주요 정부 시스템과 금융기관에 양자내성 암호를 단계적으로 적용할 계획이라고 발표했다. 이는 미래의 양자 컴퓨팅 위협에 선제적으로 대응하기 위한 조치로, 국가 사이버 보안 역량 강화의 핵심 과제로 평가받고 있다.
