“반도체 설비 정보가 담긴 소스코드를 챗GPT에 붙여넣었습니다.”
2023년 3월, 삼성전자에서 일어난 실제 사건입니다. 챗GPT 사용을 허가한 지 단 20일 만에 직원들이 반도체 설비 계측 데이터와 수율 관련 프로그램 코드를 챗GPT에 입력하는 사고가 발생했죠. 한번 입력된 데이터는 회수가 불가능합니다. 오픈AI의 학습 데이터로 저장되는 순간, 그 정보는 영원히 외부에 노출될 위험에 처하게 됩니다.
이건 먼 나라 이야기가 아닙니다. 지금 이 순간에도 여러분의 회사에서 비슷한 일이 일어나고 있을 수 있습니다.
Table of Contents
충격적인 현실: 한국 기업 10곳 중 8곳이 피해를 입었다
2025년 시스코 조사에 따르면, 한국 기업의 83%가 지난 1년간 AI와 관련된 보안 사고를 경험한 것으로 나타났습니다. 10개 회사 중 8개가 이미 피해를 본 거죠. 더 충격적인 건 한국 기업 중 단 3%만이 사이버보안 위협에 효과적으로 방어할 수 있는 ‘성숙’ 단계에 도달했다는 사실입니다.
생각해보세요. 직원들이 업무 효율을 위해 회의록을 챗GPT로 요약하거나, 계약서 초안을 AI로 작성하거나, 고객 데이터를 분석할 때 생성형 AI를 사용하는 경우가 얼마나 많을까요? 글로벌 보안 업체 사이버헤이븐의 분석에 따르면, 챗GPT 사용자의 6.5%가 대외비 정보, 고객 자료, 소스 코드 등 각종 사내 정보를 입력하고 있다고 합니다.
AI가 만든 새로운 보안 위협, 어떤 것들이 있을까?
1. 생성형 AI를 통한 무의식적 정보 유출
가장 위험한 건 악의 없이 일어나는 유출입니다. 직원이 “이 계약서 초안 좀 검토해줘”라고 챗GPT에게 물어보는 순간, 그 계약서 내용은 외부 서버에 전송됩니다. 삼성전자 사례에서처럼 회의 내용을 녹음한 파일을 문서로 변환하기 위해 AI에 업로드하는 경우도 있었죠.
2. AI 기반 정교한 공격의 증가
공격자들은 딥페이크 기술을 활용해 허위 콘텐츠를 제작하고, AI로 네트워크 취약점을 분석해 공격의 타이밍과 강도를 최적화하는 디도스 공격을 감행하고 있습니다. 특히 AI 기반 피싱은 더 이상 철자 오류가 있는 아마추어 수준이 아닙니다. 문맥, 톤, 형식까지 기업 문화에 맞춰 맞춤 제작되죠. 이제는 AI가 사람보다 설득력 있는 콘텐츠를 생산할 수 있게 됐습니다.
3. AI 플러그인의 보안 취약점
AI 플러그인은 생산성을 향상시키지만 기존 보안 통제를 우회할 위험이 있습니다. 플러그인이 의도된 기능을 수행하는 것처럼 보이지만 뒤에서 은밀한 작업을 실행할 수 있죠. 예를 들어 암호화폐 업계에서는 가짜 지갑 플러그인이 디지털 자산을 탈취하는 사례가 빈번하게 발생하고 있습니다.
그래서 우리 회사는 무엇을 해야 할까?
제로 트러스트 원칙을 적용하세요
“신뢰는 없다. 항상 검증하라”는 제로 트러스트 보안 모델이 2025년의 핵심입니다. 사내망이든 외부망이든, 임직원이든 외부인이든 모든 접속을 철저히 검증하는 시스템이 필요합니다. 언제 어디서나 네트워크에 접근할 수 있는 환경에서 모든 접속을 철저히 검증하고 관리하는 방식이 점차 대세가 되고 있습니다.
DLP와 DRM, 이제는 선택이 아닌 필수
기업 문서 보안의 핵심은 두 가지 솔루션입니다.
**DLP(정보유출방지)**는 데이터가 유출되기 전에 감지하고 차단하는 시스템입니다. 이메일, 클라우드, USB 등을 통한 데이터 유출을 실시간으로 모니터링하고 민감한 정보가 외부로 전송되는 것을 사전에 차단합니다. 네트워크, USB, 프린터, 이메일 등 다양한 유출 경로를 모두 감시할 수 있죠.
**DRM(디지털 권한 관리)**은 데이터의 사용 권한을 제어하는 기술입니다. 파일 자체를 암호화해 권한 기반 접근 제어를 제공합니다. DLP는 데이터 자체를 보호하지 않기 때문에 유출된 데이터는 추적이 불가능하지만, DRM은 파일이 외부로 유출되더라도 접근을 통제할 수 있어 더욱 강력한 보안성을 제공합니다.
최근에는 오피스키퍼 같은 통합 솔루션이 인기입니다. DLP의 정보유출방지 기능과 DRM의 파일 암호화 기능을 함께 제공하거든요. 이렇게 두 가지를 결합하면 정보가 빠져나가는 것도 막고, 혹시 유출되더라도 열어볼 수 없게 만들 수 있습니다. 현재 국내 13,000여 개 기업이 이런 통합 솔루션을 도입해 사용하고 있습니다.
AI 보안 교육을 정기적으로 실시하세요
AI 기반 위협을 직원들이 충분히 이해하고 있다고 답한 비율은 30%에 불과합니다. 기술적 솔루션만큼 중요한 게 직원 교육이죠.
- 챗GPT 같은 생성형 AI에 절대 입력하면 안 되는 정보 유형 명확히 하기
- 회의록, 계약서, 고객 정보 등 민감 정보 처리 가이드라인 수립
- 정기적인 보안 교육과 모의 훈련 실시
삼성전자의 사례에서도 사내에서 정보 보안에 대한 주의를 환기시키고 있었음에도 불구하고, 기밀 정보를 입력하는 바람에 정보 유출이 발생했습니다. 시스템 면에서 정보 유출을 방지하는 것뿐만 아니라, IT 리터러시에 대한 사내 교육을 실시하는 것이 필수적입니다.
자체 AI 솔루션 구축을 고려하세요
삼성전자는 사고 이후 사내 전용 자체 AI 서비스 구축을 검토했습니다. 포스코는 정보 유출 가능성을 사전에 차단하기 위해 내부 인트라넷을 통해서만 챗GPT를 활용하게 했고, SK하이닉스는 사내망에서 챗GPT 사용을 금지하고 별도 신고 후 보안성 검토를 거쳐 허가하는 방식을 채택했습니다.
외부 생성형 AI를 사용해야 한다면, 회사 데이터가 학습에 사용되지 않도록 API나 엔터프라이즈 버전을 활용하는 것이 안전합니다.
2025년, 놓치면 안 되는 보안 트렌드
AI 보안 시장의 폭발적 성장
테크나비오 보고서에 따르면 AI 보안 시장은 연평균 22.3% 성장해 2027년 281억 9,000만 달러에 이를 전망입니다. 이제 AI 보안은 선택이 아닌 필수가 되었습니다. 클라우드 보안, AI 기반 침입탐지시스템, AI 모델 취약점 점검 등 다양한 형태의 AI 보안 서비스가 속속 등장하고 있습니다.
클라우드 환경의 복잡성 증가
AI 시대를 맞아 복잡한 시뮬레이션과 대규모 데이터 처리를 위해 클라우드 활용이 보편화되면서 공격 표면이 지속적으로 확대되고 있습니다. 기존 IT 인프라에서 클라우드로의 확장은 물론, 클라우드 내 컨테이너, 마이크로서비스 아키텍처 등의 무분별한 확장으로 보안 사각지대가 늘어나고 있죠. 멀티 클라우드 환경 전반에 대한 통합 관리가 필요합니다.
공급망 공격의 진화
소프트웨어 공급망을 노린 공격이 급증하고 있습니다. 특정 소프트웨어를 개발하거나 배포하는 과정에서 발생하는 보안 취약점을 악용하며, 단일 조직뿐만 아니라 연결된 모든 네트워크에 영향을 미칠 수 있습니다. 기업들은 SBOM(Software Bill of Materials)을 도입해 소프트웨어 구성 요소의 출처, 라이선스, 보안 취약점을 추적하고 있습니다.
딥페이크와 AI 규제 강화
대한민국에서도 AI 기본법 제정을 통해 생성형 AI와 딥페이크로 합성된 영상 및 사진에 워터마크 삽입을 의무화할 예정입니다. EU의 AI법처럼 전 세계적으로 AI 시스템을 위험 수준별로 분류하고 고위험 애플리케이션에 투명성, 문서화, 사람 감독과 같은 엄격한 요구사항을 부과하는 추세입니다.
지금 당장 실천할 수 있는 3가지
1. 현재 사용 중인 AI 도구 점검하기
직원들이 어떤 AI 서비스를 업무에 활용하고 있는지 파악하세요. 그림자 IT(섀도우 IT) 사용을 차단하는 것보다 안전한 대안을 제공하는 게 효과적입니다. 실제로 많은 기업들이 직원들의 AI 사용을 막는 대신, 안전한 사내 AI 도구를 제공하는 방향으로 전환하고 있습니다.
2. 민감 정보 분류 체계 수립
어떤 정보가 대외비이고, 어떤 정보는 공유 가능한지 명확한 기준을 만드세요. 실시간 자동 검사로 민감 정보를 검출하고 자동 암호화하는 시스템 도입을 검토하세요. 개인정보보호법과 정보통신망법 준수를 위해서도 필수적인 조치입니다.
3. 보안 사고 대응 매뉴얼 준비
만약 정보 유출이 발생했을 때 어떻게 대응할지 시나리오를 미리 준비해두세요. 2024년 크라우드스트라이크 사태처럼 예상치 못한 대규모 다운타임이 발생할 수 있습니다. 신속한 대응이 피해를 최소화합니다. 체계화된 플레이북을 지정하여 피해를 최소화하는 것이 중요합니다.
마치며: AI는 위협이자 기회입니다
AI는 보안 분야에서 양날의 검으로 작용하고 있습니다. 강력한 방어 도구가 될 수 있지만, 동시에 위험 요소이기도 합니다. 하지만 한 가지 확실한 건, AI 시대에 문서 보안을 소홀히 하는 기업은 살아남기 어렵다는 사실입니다.
한국IDC는 2025년을 ‘AI 피봇의 해’로 정의합니다. 기업이 AI 중심 비즈니스로 본격 전환하는 시점이라는 의미입니다. AI는 단순한 기술 도입을 넘어, 기업 애플리케이션 전반에 삽입돼 자율적 워크플로우와 혁신을 이끄는 핵심 요소가 됐습니다. 이 전환의 중심에 보안이 있어야 합니다.
기술의 발전은 막을 수 없습니다. 하지만 그 기술을 안전하게 활용하는 방법은 우리가 선택할 수 있습니다. 지금 바로 여러분 회사의 문서 보안 체계를 점검해보세요. 내일이 아니라 오늘, 지금 당장 말이죠.