[서울=뉴시스] 신효령 기자 = "과거 해커들이 시스템 허점을 찾아내고 공격 코드를 작성하는 데 일주일이 걸렸다면, 이제는 7분이면 충분합니다."

나디르 이즈라엘 아미스 공동창업자 겸 최고기술책임자(CTO)는 "최근 사이버 공격에서 가장 큰 변화는 AI(인공지능) 활용의 폭발적인 증가"라며 이같이 말했다.

이즈라엘 CTO는 지난 25일(현지시간) 미국 샌프란시스코에서 열린 세계 최대 사이버보안 전시회 'RSA 컨퍼런스 2026(RSAC 2026)'에서 'AI vs AI: 공격자의 변화보다 빠른 방어 체계 재편 전략'을 주제로 발표했다.

그는 "AI 기술 발전이 공격자에게 강력한 무기를 제공했다"며 "AI가 해킹 효율을 극적으로 높이면서 기존 보안 상식이 더 이상 통하지 않는 시대가 됐다. 인간의 속도로는 AI 해커를 따라잡기 어렵다"고 설명했다.

특히 생성형 AI와 AI에이전트의 결합은 공격 방식 자체를 근본적으로 바꿨다. 과거에는 해커가 취약점을 분석하고 공격 코드를 작성하는 데 상당한 시간이 필요했지만, 이제는 AI가 이 과정을 자동으로 수행한다. 공격자는 목표만 설정하면 침투 시나리오가 빠르게 완성되는 구조다.

문제는 방어 체계가 여전히 사람 중심으로 작동하고 있다는 점이다. 현재 대부분의 기업 보안 시스템은 이상 징후가 발생하면 담당 인력이 이를 분석하고 대응하는 방식에 의존하고 있다.

이즈라엘 CTO는 이를 두고 "결국 인간의 속도로 대응하고 있는 것"이라고 지적했다. "AI가 자동으로 공격을 수행하는 상황에서 사람이 수동으로 대응하는 구조는 근본적으로 속도 경쟁에서 뒤처질 수밖에 없다"며 "이 격차가 보안의 가장 큰 취약점이 되고 있다"고 덧붙였다.

테크크런치 등 주요 외신에 따르면, 이번 RSAC 2026을 관통한 키워드는 '기계처럼 초고속으로 이뤄지는 해킹'이다. 과거 해킹이 숙련된 공격자의 수작업에 의존했다면, 이제는 스스로 판단하고 행동하는 에이전틱 AI가 공격의 전면에 나서고 있다는 분석이다.

글로벌 보안 기업 크라우드스트라이크가 이번 행사 중 발표한 '2026 글로벌 위협 보고서'에 따르면, 지난해 AI를 활용한 사이버 공격은 전년 대비 89% 급증했다.

해커가 시스템 내부로 침투하는 데 걸리는 평균 시간은 29분으로, 2024년 대비 65% 빨라졌다. 심지어 27초 만에 방어벽을 무너뜨리고 침입에 성공한 사례까지 보고됐다.

이즈라엘 CTO는 "공격자들은 챗GPT 같은 생성형 AI를 악용해 익스플로잇(취약점 활용 공격) 코드를 실시간으로 찍어내고 있다"며 "북한 등 국가 배후 조직은 물론, 일반 범죄 집단까지 AI 고성능 엔진을 달고 전방위적인 공격에 나서고 있다"고 설명했다.

AI 확산은 새로운 위험도 낳고 있다. 이즈라엘 CTO는 "이제는 보안을 강화하기 위해 도입한 AI 에이전트 자체가 공격 대상이 되고 있다"고 말했다.

기업들은 업무 자동화를 위해 다양한 AI 에이전트를 도입하고 있지만, 이 과정에서 새로운 공격 경로가 생기고 있다는 설명이다. 특히 인간 개입 없이 작동하는 자동화 시스템은 한 번 침투되면 연쇄적으로 피해가 확산될 가능성이 크다.

그는 "에이전트 기반 워크플로우는 효율성을 높이는 동시에 공격 표면을 넓히고 있다"며 "AI 시스템 자체에 대한 보안 설계가 필수적"이라고 강조했다.

이즈라엘 CTO는 오픈소스 AI 플랫폼의 확산도 리스크로 지목했다. 기업들이 자체 AI 모델과 에이전트를 빠르게 구축하는 과정에서 보안 검증이 충분히 이뤄지지 않는 경우가 많다는 것이다.

그는 "많은 기업이 오픈소스를 기반으로 즉시 실행 가능한 AI 시스템을 만들고 있지만, 그 내부에 어떤 취약점이 있는지는 제대로 파악하지 못하고 있다"며 "이러한 시스템은 내부 네트워크를 넘어 인터넷 전체와 연결된 접점이 될 수 있다. 이를 간과하면 대규모 보안 사고로 이어질 수 있다"고 경고했다.

최근 확산되고 있는 바이브 코딩도 새로운 보안 리스크로 꼽혔다. 바이브 코딩은 전문 개발 지식이 없는 직원들이 AI와 대화하며 자연어로 프로그램을 만드는 방식이다.

이와 관련해 이즈라엘 CTO는 "보안 검증을 거치지 않은 시민 개발자들의 코드가 기업 시스템 내부로 깊숙이 유입되고 있다"며 "이는 기업 보안에 있어 심각한 보안 위협으로 이어질 수 있다"고 설명했다.

가장 큰 문제는 방어의 속도다. 현재 대부분의 기업 보안 시스템은 이상 징후 탐지시 담당 인력이 투입되어 분석하고 결정하는 '사람 중심'의 구조다.

 26일(현지시간) 미국 포브스는 "이제 보안은 데이터의 문제가 아니라 속도의 문제"라며 "조직 내 어떤 자산이 어디에 있는지 실시간으로 파악하고 AI가 스스로 방어 시나리오를 가동하는 자율 보안 시스템 구축이 기업들의 최우선 과제가 될 것"이라고 보도했다.

RSAC 2026에서 전문가들은 보안 인식의 근본적인 전환을 주문했다. 보안 사고가 터졌을 때 누구의 책임인가를 묻는 데만 급급한 기존의 문화로는 초광속 AI 공격을 막아낼 수 없다는 것이다.

이즈라엘 CTO는 기존의 정적 보안 방식에서 벗어나 'AI 대 AI'의 대결 구도로 전환해야 한다고 강조했다. 공격자의 변화 속도보다 더 빠르게 방어 체계를 재편할 수 있는 자율 보안 운영이 중요하다고 했다.

그는 "현재의 사이버 보안은 인간 대 인간의 싸움이 아닌 AI 대 AI의 전쟁"이라며 "인간의 개입을 최소화하고 AI가 위협을 탐지해 자율적으로 차단하는 시스템 구축이 핵심이다. 공격자가 AI를 써서 7분 만에 들어온다면, 방어자는 AI를 써서 7초 만에 막아낼 수 있는 자율 대응 체계를 갖춰야 한다"고 제언했다.

◎공감언론 뉴시스 [email protected]

Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지