【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스][AI돋보기] AI가 키운 데이터 자동문…정보 유출 왜 반복되나

온카뱅크관리자

2025-12-28 06:37:27

<div id="layerTranslateNotice" style="display:none;"></div> 정상 권한 악용·좀비 API·섀도우 AI가 만든 새 침입로 기술 아닌 구조·책임의 문제 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="Y4oTFVb017">
 <figure class="figure_frm origin_fig" contents-hash="4368fb630c77e60e22f9e90327c02766bbd6d0048bb206f1d47081951a5d4ab6" dmcf-pid="GbeIHqUZHu" dmcf-ptype="figure">
 <img alt="신한카드서 가맹주 개인정보 19만건 유출 (서울=연합뉴스) 김인철 기자 = 신한카드가 가맹점 대표자의 휴대전화번호를 포함해 약 19만건의 개인정보가 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 밝힌 23일 서울 중구 을지로 신한카드 본사 모습. 2025.12.23 yatoya@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/28/yonhap/20251228063451275yusl.jpg" data-org-width="1200" dmcf-mid="6PPwTptWt9" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/28/yonhap/20251228063451275yusl.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 신한카드서 가맹주 개인정보 19만건 유출 (서울=연합뉴스) 김인철 기자 = 신한카드가 가맹점 대표자의 휴대전화번호를 포함해 약 19만건의 개인정보가 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 밝힌 23일 서울 중구 을지로 신한카드 본사 모습. 2025.12.23 yatoya@yna.co.kr
 </figcaption>
 </figure>
 (서울=연합뉴스) 심재훈 기자 = 최근 유통, 항공, 금융 등 업종을 불문하고 연이어 터진 개인정보 유출 사고의 본질은 단순하다. 
 더 이상 거창한 '외부 침입'만이 문제가 아니라는 점이다.
 과거처럼 방화벽을 무력화하고 침투하는 전통적 해킹뿐만 아니라, 합법적 권한을 가진 내부자가 정보를 빼내거나, 외부에서 탈취한 계정으로 유유히 정문을 통과하는 사례가 빈번해졌다. 
 공격자들은 굳게 닫힌 문을 부수기보다 훔친 열쇠로 문을 열거나, 관리 소홀로 방치된 뒷문(API)을 노린다.
 보안 전문가들은 이를 '보안 위협의 질적 전환'으로 규정한다. 
 인공지능(AI) 시대, 데이터가 곧 자산이 되면서 기업 시스템은 비대해졌고 복잡성은 극에 달했다. 
 이 복잡성이야말로 보안의 가장 큰 적이다. 
 자동화된 공격 도구와 무한 연결, 그리고 데이터 확보 경쟁이 빚어낸 '상시 유출 사회'의 이면을 짚어봤다.
 뚫린 게 아니라 열렸다…'크리덴셜 스터핑'의 습격
 최근 발생한 사고들의 로그를 분석해보면 시스템상으로는 지극히 '정상적인 접속'인 경우가 많다. 이른바 '크리덴셜 스터핑(Credential Stuffing)' 공격이다.
 해커가 다크웹 등에서 확보한 타 사이트의 아이디와 비밀번호를 자동화 프로그램에 입력해 무차별 대입하는 이 방식은 AI를 만나 더욱 정교해졌다. 
 과거 사람이 일일이 입력하던 방식과 달리 AI 봇(Bot)은 초당 수천 번의 로그인을 시도하며 이용자 대다수가 여러 사이트에서 동일한 비밀번호를 쓰는 습관을 집요하게 파고든다.
 보안 관제 현장에서는 주요 온라인 서비스 로그인 시도의 상당수가 사람이 아닌 봇 트래픽일 것으로 추정한다. 
 <figure class="figure_frm origin_fig" contents-hash="d803cdd8e61c39edb053a4acd2691a730e45013e1989ed3991074917fe7fe85a" dmcf-pid="zRkZzx8B5W" dmcf-ptype="figure">
 <img alt='"개인정보 3천개만 유출" 쿠팡 자체 발표 경위는 (서울=연합뉴스) 류영석 기자 = 대규모 개인정보 유출 사태와 관련 쿠팡 측이 정보를 유출한 것으로 특정된 전직 직원이 약 3천개 계정의 정보만 저장했다는 자체 발표를 해 논란이 일고 있다. 이에 서울경찰청 사이버수사과는 "지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받았다"고 밝히며 사실 여부를 확인하고 있다. 사진은 26일 서울의 한 쿠팡 물류 센터의 모습. 2025.12.26 ondol@yna.co.kr' class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/28/yonhap/20251228063451450bnzx.jpg" data-org-width="1200" dmcf-mid="PIm39JMV5K" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/28/yonhap/20251228063451450bnzx.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 "개인정보 3천개만 유출" 쿠팡 자체 발표 경위는 (서울=연합뉴스) 류영석 기자 = 대규모 개인정보 유출 사태와 관련 쿠팡 측이 정보를 유출한 것으로 특정된 전직 직원이 약 3천개 계정의 정보만 저장했다는 자체 발표를 해 논란이 일고 있다. 이에 서울경찰청 사이버수사과는 "지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받았다"고 밝히며 사실 여부를 확인하고 있다. 사진은 26일 서울의 한 쿠팡 물류 센터의 모습. 2025.12.26 ondol@yna.co.kr
 </figcaption>
 </figure>
 문제는 시스템 입장에서 이를 공격으로 식별하기 어렵다는 점이다. '정상적인 열쇠'를 가지고 들어오는 셈이니, 보안벽이 뚫린 게 아니라 인증 체계가 우회된 것이다.
 실제로 아시아나항공 사례가 악성코드를 통한 전형적인 외부 침입이었다면, 신한카드는 내부 직원의 일탈로 19만여 건의 정보가 유출된 내부 보안 실패 사례다. 
 G마켓 역시 전산망 해킹보다는 외부에서 탈취된 계정 정보가 도용된 정황이 보인다. 
 겉으로는 모두 '유출'이지만, 그 내막은 계정 탈취, 내부 통제 실패, 시스템 취약점 등 다층적으로 갈라져 있다.
 관리 안 된 뒷문 '좀비 API'와 '섀도우 AI'
 AI 도입 경쟁은 기업의 IT 아키텍처를 근본적으로 흔들었다. 
 폐쇄적인 내부 서버에 데이터를 가두던 시절은 지났다. 클라우드, SaaS(서비스형 소프트웨어), 외부 AI 모델과 데이터를 실시간으로 주고받는 것이 뉴노멀이 됐다.
 이 과정에서 시스템 간 대화 창구인 API(응용프로그램 인터페이스)가 기하급수적으로 늘어났다. 
 문제는 개발 속도전에 밀려 보안 점검 없이 생성되거나, 프로젝트 종료 후에도 삭제되지 않고 방치된 '좀비 API'다.
 <figure class="figure_frm origin_fig" contents-hash="dde8f748c3b4a5c3bbeeeba537d8fc438af60129f4b20010cacb6ba26ba7ff9f" dmcf-pid="8XBorGTs1s" dmcf-ptype="figure">
 <img alt="국내외 사이버공격 모니터링 (서울=연합뉴스) 최재구 기자 = 최근 통신사와 유통사를 중심으로 대규모 개인정보 유출 사고가 잇따르며 디지털 환경 전반의 개인정보 침해 위험이 빠르게 확산하는 가운데 10일 서울 한국인터넷진흥원 상황실에서 직원들이 국내외 사이버 공격 상황을 모니터링하고 있다. 2025.12.10 jjaeck9@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/28/yonhap/20251228063451659ymhi.jpg" data-org-width="1200" dmcf-mid="QZdCXBu5Gb" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/28/yonhap/20251228063451659ymhi.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 국내외 사이버공격 모니터링 (서울=연합뉴스) 최재구 기자 = 최근 통신사와 유통사를 중심으로 대규모 개인정보 유출 사고가 잇따르며 디지털 환경 전반의 개인정보 침해 위험이 빠르게 확산하는 가운데 10일 서울 한국인터넷진흥원 상황실에서 직원들이 국내외 사이버 공격 상황을 모니터링하고 있다. 2025.12.10 jjaeck9@yna.co.kr
 </figcaption>
 </figure>
 글로벌 보안 업계에 따르면 악성 API 트래픽의 약 30%가 문서화되지 않은 '섀도우 API'를 노린다. 기업조차 자사 시스템에 문이 몇 개인지, 어디에 달려있는지 파악하지 못하는 '보이지 않는 위협'이 해커들의 주 침투 경로가 되고 있다.
 여기에 임직원이 회사 승인 없이 생성형 AI를 업무에 쓰는 '섀도우 AI' 문제도 심각하다. 
 기밀문서를 요약하려 외부 AI에 입력하는 순간, 해당 정보는 기업의 통제권을 벗어나 외부 클라우드 어딘가에 저장된다. 데이터의 흐름을 추적할 수 없다는 것 자체가 치명적인 보안 구멍이다.
 "데이터는 땔감"… 멈출 수 없는 연결의 딜레마
 기업들도 위험을 인지하고 있다. 하지만 '보안'을 이유로 '연결'을 끊기엔 AI 경쟁이 너무 치열하다. 
 AI 성능은 데이터의 양과 질에 비례한다. "더 많은 데이터를, 더 빠르게 연결하라"는 경영진의 주문 앞에서 보안팀의 경고는 종종 뒷전으로 밀린다.
 <figure class="figure_frm origin_fig" contents-hash="2aaa318544a7586f36bf5c9d705a5a6937c76fb4bc7c58a65197c17b72f1c429" dmcf-pid="YdD1BRPKXc" dmcf-ptype="figure">
 <img alt="통신 3사 덮친 해킹 공포 (서울=연합뉴스) 이동해 기자 = 11일 서울 시내 한 휴대폰 판매점의 모습.
 SK텔레콤의 해킹으로 고객 정보가 유출된 데 이어 이동통신 3사에 해킹 우려가 커지는 가운데, 개인정보보호위원회는 이날 KT와 LG유플러스의 개인정보 유출 의혹에 대해 경찰, 과기정통부 등 관계 기관과 함께 신속하고 정밀한 조사를 예고했다. 2025.9.11 eastsea@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/28/yonhap/20251228063451868mumx.jpg" data-org-width="500" dmcf-mid="x1yKMcaeYB" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/28/yonhap/20251228063451868mumx.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 통신 3사 덮친 해킹 공포 (서울=연합뉴스) 이동해 기자 = 11일 서울 시내 한 휴대폰 판매점의 모습. SK텔레콤의 해킹으로 고객 정보가 유출된 데 이어 이동통신 3사에 해킹 우려가 커지는 가운데, 개인정보보호위원회는 이날 KT와 LG유플러스의 개인정보 유출 의혹에 대해 경찰, 과기정통부 등 관계 기관과 함께 신속하고 정밀한 조사를 예고했다. 2025.9.11 eastsea@yna.co.kr
 </figcaption>
 </figure>
 데이터 파이프라인이 복잡해지면서 책임 소재도 희석됐다. 
 수집(A사), 저장(B사 클라우드), 분석(C사 솔루션)으로 주체가 쪼개지며, 사고 발생 시 책임 공방으로 골든타임을 놓치는 일이 다반사다. 기술은 초연결 시대로 진입했지만, 책임은 파편화된 모순적 상황인 셈이다.
 유출된 조각 정보, AI 만나 '범죄 시나리오' 완성
 유출 이후의 파장은 더 크다. 과거 스팸 문자 수준에 그쳤던 2차 피해는 생성형 AI와 결합해 진화했다. 
 다크웹에 떠도는 이름, 주민등록번호, 카드 번호, 쇼핑 목록 등 파편화된 정보들이 AI를 통해 하나의 거대한 '프로파일'로 재조립된다.
 <figure class="figure_frm origin_fig" contents-hash="9e21db0c7c0333b5ffa1ea29b87cd7da3e0b807bbbd905f6517032e79d5a81a6" dmcf-pid="1gIUfLd8Ho" dmcf-ptype="figure">
 <img alt="롯데카드 본사에 마련된 카드센터 상담소 (서울=연합뉴스) 김인철 기자 = 19일 서울 종로구 롯데카드 본사에 고객 개인정보 유출 해킹 사건과 관련해 카드센터 상담소가 마련돼 있다. 2025.9.19
 yatoya@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/28/yonhap/20251228063452026mexp.jpg" data-org-width="500" dmcf-mid="y8SqPNLxZq" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/28/yonhap/20251228063452026mexp.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 롯데카드 본사에 마련된 카드센터 상담소 (서울=연합뉴스) 김인철 기자 = 19일 서울 종로구 롯데카드 본사에 고객 개인정보 유출 해킹 사건과 관련해 카드센터 상담소가 마련돼 있다. 2025.9.19 yatoya@yna.co.kr
 </figcaption>
 </figure>
 AI는 이 조각들을 맞춰 정교한 피싱 문구는 물론, 가족의 목소리를 흉내 내는 딥보이스 시나리오까지 생성한다. 개인정보 보호 분야에서 우려하는 '모자이크 효과'가 현실화된 것이다. 수사 당국이 단편적 유출보다 '결합된 데이터'의 위험성을 더 높게 보는 이유다.
 '경계'에서 '검증'으로… 제로 트러스트가 답이다
 전문가들은 "이제 '경계 보안'의 유효기간은 끝났다"고 입을 모은다. 
 방화벽만 높이는 식의 대응은 한계에 봉착했다. 대안은 '제로 트러스트(Zero Trust)'다. "아무도 믿지 말라, 그리고 끊임없이 검증하라"는 원칙이다.
 한 번 로그인했다고 해서 시스템 전체를 누비는 '프리패스'는 없다. 사용자와 기기, 데이터의 맥락을 실시간으로 검증하고 권한을 최소화하는 '마이크로 세분화'가 핵심이다.
 <figure class="figure_frm origin_fig" contents-hash="ac923147b001c59ab6fdc6f787cc83d0ecce61d8fdb09ea804f8d325249115be" dmcf-pid="UEyKMcaeZe" dmcf-ptype="figure">
 <img alt="쿠팡 상황은? (서울=연합뉴스) 김성민 기자 = 대통령실이 성탄절인 25일 오후 쿠팡의 대규모 개인정보 유출사태의 대책 마련을 위한 관계부처 장관급 회의를 연다.
 이날 서울 시내 한 주차장에 쿠팡 배달 차량이 주차돼 있다. 2025.12.25
 ksm7976@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/28/yonhap/20251228063452198bwkh.jpg" data-org-width="500" dmcf-mid="WwnS19qFXz" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/28/yonhap/20251228063452198bwkh.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 쿠팡 상황은? (서울=연합뉴스) 김성민 기자 = 대통령실이 성탄절인 25일 오후 쿠팡의 대규모 개인정보 유출사태의 대책 마련을 위한 관계부처 장관급 회의를 연다. 이날 서울 시내 한 주차장에 쿠팡 배달 차량이 주차돼 있다. 2025.12.25 ksm7976@yna.co.kr
 </figcaption>
 </figure>
 결국 AI 시대의 보안은 기술이 아닌 거버넌스(지배구조)의 문제다. 
 CEO가 보안을 비용이 아닌 생존을 위한 필수 투자로 인식하고, 데이터의 전체 흐름을 조망할 컨트롤타워를 세워야 한다.
 정부 규제 또한 사후 처벌 위주에서 설계 단계부터 보안을 내재화했는지 살피는 예방적 감독으로 전환해야 한다는 지적이다.
 문단속만으로는 부족한 시대다. 
 누가 언제 왜 문을 열었는지, 데이터가 어떤 경로로 흘러갔는지 끊임없이 묻고 확인하는 시스템만이 AI 시대의 정보 유출을 막을 최소한의 방파제가 될 것이다.
 president21@yna.co.kr
 ▶제보는 카톡 okjebo
 </section> 
 </div> 
 Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기