2025년엔 생성형 인공지능(AI) 서비스 사용이 일반화되면서 챗GPT와 같은 모델을 활용한 선전·선동 및 피싱(개인정보 탈취를 통한 인터넷 사기기법) 공격이 증가할 것으로 예측된다. 특히 AI가 기업 내부 시스템과 연동돼 개인정보 노출 가능성이 커지는 만큼 기업들의 보안에 대한 경각심이 요구된다.
과학기술정보통신부와 한국인터넷진흥원이 18일 발표한 ‘2024년 사이버위협 사례 분석과 2025년 사이버위협 전망’ 보고서는 “내년엔 AI를 활용해 정교하게 작성한 허위 콘텐츠는 진짜와 구별하기 힘들고 가짜뉴스와 사회관계망서비스(SNS)를 통해 빠르게 확산한다”며 “특정 집단에 의한 여론 조작으로 사회적 갈등과 혼란이 증가할 가능성이 크다”고 우려했다. 특히 “생성형 AI가 기업 내부 시스템과 연동돼서 구축된 경우 민감한 데이터의 노출과 오용 가능성이 커진다”며 “기업들이 AI 모델 도입 단계에서 보안을 내재화하고 상시 모니터링 체계를 구축해야 한다”고 조언했다.
정부는 생성형 AI 외에도 목적 자체가 불법적인 사기 GPT와 웜(악성코드 생성) GPT 등 악성 AI 모델이 다크 웹 등에서 퍼질 것으로도 예상하고 있다.
또 디지털 융복합 시스템에 대한 사이버위협 증가할 것으로 예측된다. 자율 주행차와 스마트 빌딩, 교통 시스템 등 디지털 융합기술이 널리 확산하고 있어 현재 기업 및 기관 중심의 사이버위협이 향후엔 자율 주행차와 스마트팜 등 디지털 융복합 제품 및 서비스로 확대될 것으로 보인다.
여기에 우크라이나 전쟁 등 글로벌 분쟁이 심화하면서 등장한 사이버 해커들이 정부기관에 대한 디도스(분산 서비스) 공격과 사회기반시설을 향한 사이버 공격을 통해 사회적 혼란을 유발할 우려가 높다고 봤다. 특히 올해 디도스 공격이 증가하고 있는 추세를 고려할 때 2025년엔 정부와 공공, 민간 기업을 가리지 않고 디도스 공격이 증가할 것으로 예상돼 기업들의 선제적 대응이 중요하다고 조언했다.
올해 일어난 주요 사이버위협 양상으로는 유명 가수의 콘서트와 티몬·위메프 환불 등 사회적 이슈를 악용한 스팸 등 사이버 사기의 증가, 소프트웨어(SW) 공급망 각 단계에 침투해 악성코드를 삽입한 후 해킹을 하는 복합적인 사이버위협이 있었다. 8월 티몬·위메프 사태 당시 환불을 미끼로 개인정보를 탈취하는 스미싱 사건이 급증해 주의가 당부됐고, 지난 9월엔 한 해커가 법무법인을 해킹해 탈취한 고객 정보로 비트코인을 요구하는 사건이 발생하는 등 사이버위협 사건이 끊이지 않았다.
류제명 과기정통부 네트워크정책실장은 “국민과 기업이 보안인식을 제고하고 일상 속 사이버위협에 대한 경각심을 강화해야 한다”며 “고도화된 사이버위협에 체계적으로 대응할 수 있도록 더욱 유기적인 민간, 공공기관의 협력체계를 구축해 사이버위협의 선제적 방어와 억제를 통해 안전한 디지털 환경을 만들어 가겠다”고 밝혔다.