두 개의 새로운 보고서는 인식된 보안 수준과 실제 대비 상태 사이의 불편한 불일치를 드러낸다. 이 두 보고서를 함께 살펴보면 보다 냉정한 결론에 이르게 된다. 사람들은 사이버 위협에 대해 더 잘 인식하고 있지만, 여전히 매우 위험할 정도로 보호받지 못하고 있다. 이는 특히 AI가 사이버 범죄자들에게 방어 체계보다 더 빠르게 진화할 수 있는 수단을 제공하면서 더욱 두드러진다.

Iris의 소비자 대상 ‘신원 및 사이버보안 우려 설문조사’는 많은 사람들이 신원 도용의 위험성을 인식하고 있음에도 불구하고, 그들의 행동은 여전히 미흡하다는 점을 강조한다. 데이터 유출, 비밀번호 유출, 사기 등에 대한 우려가 깊음에도 불구하고, 모든 권장 사이버보안 수칙을 지킨다고 답한 사람은 단 30%에 불과했다.

특히 AI에 대한 우려는 매우 높은 수준이다. 전체 응답자의 91%가 AI를 개인정보에 대한 중대한 위협으로 인식하고 있으며, 이는 여성 응답자들 사이에서 특히 두드러졌다. 그러나 이처럼 높은 인식 수준이 실질적인 행동으로 이어지지는 않고 있다. 대부분의 응답자들은 디지털 기기를 사용하는 동안 자신이 “다소 안전하다고 느낀다”고 답했는데, 이는 알고 있는 것과 실제로 하는 일 사이의 괴리를 보여주는 대표적인 신호다.

이러한 불안감은 충분히 타당하다. Delinea Labs의 『사이버보안 및 AI 위협 환경 보고서』에 따르면, AI는 단지 기존 사이버 위협을 가속화하는 데 그치지 않고 위협 자체를 완전히 재정의하고 있다. AI 기반 피싱, 딥페이크 사칭, 자동화된 랜섬웨어 공격은 이제 빠르게 ‘표준 공격 방식’으로 자리 잡고 있다. 2024년 기준, 피싱 시도는 200% 이상 증가했고, 자격 증명 피싱(credential phishing)은 무려 703% 증가했다. 딥페이크 공격은 전 세계에서 매 5분마다 발생하고 있다.

악명 높은 사례 중 하나는, 영국의 대형 엔지니어링 기업 Arup의 재무 직원이 화상 회의 중 딥페이크로 위조된 CEO를 믿고 2,500만 달러를 송금한 사건이다. 이 사례는 AI가 얼마나 정교한 사회공학적 사기 기법을 가능하게 만들었는지를 보여준다. 이로 인해 보안에 민감한 사람조차 속아 조직을 위협에 빠뜨릴 수 있게 된 현실이 드러난 것이다.

이러한 현실에도 불구하고, 대부분의 소비자들은 데이터 유출 사고 발생 시 전문 사이버보안 업체보다는 은행이나 신용카드사에 먼저 연락하는 것으로 나타났다. Iris의 설문조사에 따르면, 46%는 금융기관에 먼저 연락하겠다고 답했으며, 사이버보안 업체에 연락하겠다는 응답은 단 19%에 그쳤다.

이 같은 행동은 또 하나의 핵심 결과와도 일치한다. 응답자의 66%는 자신이 이용하는 은행이나 카드사로부터 직접 사이버보안 보호 서비스를 구매하는 데 관심이 있다고 답했다. 이것은 신뢰할 수 있는 금융 기관이 소비자들이 이미 사용 중인 플랫폼 안에 디지털 보안 기능을 내장함으로써 보안 서비스의 접근성 문제와 사이버보안에 대한 신뢰 부족 문제를 동시에 해결할 수 있는 기회를 보여준다.

이러한 ‘내장형 보안 접근 방식’은 더 넓은 차원의 문제, 즉 사이버보안 도구의 복잡성이라는 본질적인 과제와도 맞닿아 있다. Iris의 CTO이자 제품 책임자인 에릭 니에나버(Erik Nienabar)는 “소비자들이 스스로 다양한 보안 제품을 찾아 헤매야만 보호받을 수 있다는 현실은 바람직하지 않다”고 말하며, “궁극적인 목표는 사람들이 이미 사용하는 시스템과 일상 업무 흐름 속에 자연스럽게 통합된, 보이지 않는 무대 뒤의(seamless, behind-the-scenes) 보안이어야 한다”고 강조했다.

“이번 조사 결과는 우리가 Iris에서 추구하고 있는 방향을 더욱 확신하게 합니다. Iris의 신원 및 사이버 보호 통합 솔루션은 소비자들이 이미 사용하는 시스템 안에 사전 예방적 보안을 원활하게 통합할 수 있도록 설계되어 있습니다.”라고 Iris의 에릭 니에나버(Erik Nienabar) CTO는 말했습니다. “소비자들이 이미 사용하는 은행, 신용카드사 또는 기타 신뢰받는 기관을 통해 보안 기능을 ‘내장’함으로써, 복잡한 보안 기술을 스스로 탐색하지 않아도 진화하는 사이버 위협에 한발 앞서 대응할 수 있도록 만든 것입니다.”

Delinea 보고서도 이 같은 접근법을 강력히 지지합니다. 보고서는 특히 비인간 신원(NHI, Non-Human Identity) – 즉 앱, API, 서비스가 사용하는 디지털 계정의 증가로 인해 신원 시스템의 공격 표면이 빠르게 확장되고 있다는 점을 강조합니다. 인간 1명의 신원 당, 평균 46개의 NHI가 존재하며 그 중 70% 이상은 보안 모범 사례에 따라 주기적으로 갱신되지 않고 있습니다. 더 심각한 건, 97%의 조직이 이 NHI를 외부에 노출하고 있어 위험을 더욱 가중시키고 있습니다.

이런 신원 보호 실패는 결코 이론적인 문제가 아닙니다. 예를 들어, 2024년 발생한 Snowflake 해킹 사건은 해당 연도 최대 규모의 침해 중 하나로, MFA(다중 인증)가 설정되지 않은 직원 계정의 유출된 자격 증명을 통해 발생했습니다. 단 하나의 취약점으로 인해 수많은 고프로파일 고객사들의 데이터가 유출되어 수억 명의 소비자들에게 영향을 미친 사건이었습니다. 비슷하게, Internet Archive 해킹 사건도 공개 저장소에 거의 2년 동안 방치된 비인간 신원 토큰(NHI token) 때문이었습니다.

이러한 사고는 신원 시스템이 제대로 보호되지 않았을 때 얼마나 파급력이 큰 후폭풍이 발생할 수 있는지를 극명하게 보여줍니다. 공격자들은 점점 더 정교해지고 있으며, 특히 AI를 활용해 MFA(다중 인증)를 위조된 푸시 알림으로 우회하고, 신원 제공자 시스템의 취약점을 노리고 있습니다. Delinea에 따르면, 2024년 랜섬웨어 공격의 10건 중 9건은 Windows Active Directory를 목표로 했습니다. 이 시스템은 전 세계 수많은 기업에서 접근 관리의 핵심 백본 역할을 하고 있습니다. 한편, MFA 자체도 전체 침해 사건의 절반 가까이에 연루되어 있었으며, 그 원인은 대부분 구성 오류나 사용자 실수였습니다.

Iris의 CEO 페이지 셰퍼(Paige Schaffer)는 다음과 같이 강조했다. “소비자들이 이처럼 복잡한 위협을 스스로 헤쳐 나가도록 방치해서는 안 된다.” 이는 Iris와 Delinea 두 보고서 모두에서 공통적으로 반복된 핵심 메시지이기도 하다. 사이버보안은 더 이상 단순한 기술 문제가 아니라, 사회 전체가 직면한 과제라는 것이다. 신원 도용 피해 이후 회복 과정은 엄청난 스트레스를 수반한다. Iris 조사에 따르면, 최근 피해자의 93%가 심각한 정서적 고통을 호소했으며, 절반 이상은 해당 경험이 인생에서 가장 스트레스가 심한 사건이었다고 답했다. 그럼에도 불구하고, 이들 중 ID 보호 전문 업체의 지원을 받은 사람은 단 5%에 불과, 이는 지원 시스템이 존재하지만 거의 활용되지 않고 있음을 의미한다.

바로 이 지점에서 조율된(preemptive), 사전 예방적 방어 전략의 중요성이 대두된다. Delinea 보고서는 조직들이 신원 중심 보안 전략(identity-first security)을 채택하고, 고급 위협 탐지 기술과 실시간 모니터링 시스템에 적극 투자할 것을 촉구한다. 특히 주목할 만한 점은, 2022년 한 해 동안 신원 관련 보안 취약점이 약 40% 급증했다는 것이다.

공격자들은 AI를 활용해 피싱 사이트를 자동화하고, 기업 임원을 사칭하며, 권한이 높은 계정을 집중적으로 공격한다. 이로 인해 위협 탐지의 시간 창은 점점 좁아지고 있다. 인간의 경계심만으로는 이미 부족하다. 이에 따라 다층 방어 전략(layered defense strategy)이 필수적이다. 여기에는 다음이 포함된다: 지능형 접근 제어, 위험 기반 인증(risk-based authentication), 실시간 모니터링. 신원 시스템은 악용 가능성으로부터 단단히 보호되어야 하며, 소비자용 플랫폼은 사용자 환경에 맞춘 ‘내장형 보호 기능’을 제공하도록 진화해야 한다. 은행이나 정부기관 등 신뢰 기반 기관들은 AI를 공격이 아닌 ‘방어’의 수단으로 적극적으로 선도해야 한다.

결론적으로 Iris와 Delinea 양측 보고서는 동일한 방향을 가리키고 있다. 사이버보안 환경은 근본적인 전환기에 진입했다. 공격자는 AI, 확장성, 자동화로 무장하고 있지만, 방어 측의 대응은 여전히 분산되어 있고, 활용도도 낮다. 이 격차를 메우기 위해서는 단순한 인식 제고를 넘어서, ‘사이버보안이 어떻게 제공되고, 접근되며, 경험되어야 하는지’에 대한 근본적 재설계가 필요하다.