정보기술(IT) 자문기업 가트너가 생성형 인공지능(AI) 시대에 기업들이 시급히 대응해야 할 4가지 중대 사이버 위협을 지목했다.
가트너는 2일(현지시간) 미국 내셔널 하버에서 열린 '가트너 보안 및 위험 관리 서밋'에서 공격자가 압도적 우위를 점하고 있는 4대 위협으로 △딥페이크를 이용한 신원 사칭 △AI 애플리케이션 침해 △프롬프트 주입 △소프트웨어 공급망을 선정했다고 밝혔다.
존 와츠 가트너 부사장은 "AI 기업들이 내놓는 보안 계획들이 이미 소란스러운 위협 환경에 상당한 잡음을 더하고 있다"며 "사이버 보안 리더들은 모든 소음 속에서 위협 신호를 찾아내 변화에 대응할 수 있어야 한다"고 강조했다.
가트너에 따르면 생성형 AI의 발전으로 딥페이크 기술은 음성, 영상, 이미지 등에서 양과 질이 급격히 향상됐다. 이로 인해 공격자가 생체 인증 절차를 공격하거나 실시간으로 직원을 속이는 등 신원 도용에 악용할 기회가 확대됐다. 가트너는 딥페이크 탐지 기술만으로는 충분하지 않으며, 비즈니스 프로세스 강화와 인식 개선 등 다층적인 방어 전략이 필요하다고 조언했다.
기업 내외부에서 AI 도구 사용이 늘면서 AI 애플리케이션 침해도 주요 위협으로 떠올랐다. 공격자들은 보안이 취약한 AI 에이전트, 제3자 통합 서비스 등을 노려 민감 데이터나 자격 증명을 탈취할 수 있다. 가트너는 기업들이 AI 모델로 인해 생기는 새로운 공격 경로를 파악하고, AI 애플리케이션 개발 과정에 보안 조치를 포함해야 한다고 설명했다.
소프트웨어 공급망 위협 역시 생성형 AI로 인해 가속화될 전망이다. 가트너는 오픈소스 소프트웨어의 취약점을 통한 공격이 늘어날 것이라며, 신뢰할 수 있는 구성 요소 목록을 만들고 개발 파이프라인을 강화해야 한다고 분석했다. 모든 공급업체로부터 소프트웨어 구성요소 명세서(SBOM)를 요구하고 배포 전 모든 구성 요소의 위험을 평가하는 것이 중요하다.
AI 모델에 입력하는 명령어를 조작해 민감 정보를 유출하거나 시스템을 우회하는 '프롬프트 주입' 공격도 핵심 위협으로 꼽혔다. 가트너는 잠재적으로 악의적인 프롬프트를 걸러내는 입력값 검증, 비정상적인 AI 동작에 대한 모니터링 및 경보 시스템 구축 등을 대응 방안으로 제시했다.