2025-03-22 12:15 (토)
가트너 “AI 에이전트 활용한 계정 탈취 위협 증가...다중 인증(MFA) 도입” 강조
상태바
가트너 “AI 에이전트 활용한 계정 탈취 위협 증가...다중 인증(MFA) 도입” 강조
  • 길민권 기자
  • 승인 2025.03.20 11:10
“AI를 활용한 자동화 공격 증가하면서 전통적 인증 방식은 더욱 위협 받고 있어”

가트너(Gartner)는 AI 에이전트가 자동화된 범죄 활동을 통해 2027년까지 사용자 계정 탈취(ATO) 시간을 50% 줄일 것이라고 전망했다. 이에 따라 기업과 개인의 보안 대응이 더욱 시급해질 것으로 보인다.

제레미 드호인(Jeremy D'Hoinne) 가트너 부사장(VP) 애널리스트는 “계정 탈취는 여전히 해커들의 주요 공격 수단”이라며, “데이터 유출, 피싱, 사회 공학, 멀웨어 등을 통해 비밀번호를 수집한 해커들은 사용자가 여러 사이트에서 동일한 비밀번호를 사용하는 경향을 악용해 자동화된 봇을 이용해 로그인 시도를 한다”고 설명했다.

특히 AI 에이전트는 단순한 계정 정보 탈취를 넘어 딥페이크 기술을 활용한 사회 공학 공격과 사용자 자격 증명 악용까지 자동화할 수 있다. 이에 따라 기업들은 웹, 애플리케이션, API, 음성 채널에서 AI 에이전트가 관여하는 활동을 탐지하고 모니터링할 수 있는 보안 솔루션을 도입할 것으로 예상된다.

◆비밀번호 기반 인증의 위험…다중 인증(MFA) 도입 필요

아키프 칸(Akif Khan) 가트너 부사장(VP) 애널리스트는 “보안 리더들은 AI를 활용한 공격에 대응하기 위해 비밀번호를 요구하지 않는 피싱 방지 다중 인증(MFA) 방식을 도입해야 한다”고 강조했다. 또한 “사용자가 인증 옵션을 선택할 수 있는 환경에서는 비밀번호 기반 인증에서 다중 장치 패스키 방식으로 전환하도록 교육과 인센티브를 제공해야 한다”고 조언했다.

현재 다중 인증(MFA) 도입률은 높아지고 있지만, 여전히 많은 사용자와 기업이 비밀번호 기반 인증을 유지하고 있어 보안 취약성이 남아 있다. 특히 AI를 활용한 자동화 공격이 증가하면서 전통적인 인증 방식은 더욱 위협받고 있다.

◆사회 공학 공격과 딥페이크 결합…더 정교해지는 위협

가트너는 계정 탈취 외에도 사회 공학 공격이 기업 보안에 심각한 위협이 될 것으로 내다봤다. 특히 2028년까지 사회 공학 공격의 40%가 기존보다 훨씬 광범위한 대상을 노릴 것으로 예상된다.

현재 공격자들은 딥페이크 음성 및 영상 기술을 활용해 기업 임원을 사칭하거나 내부 직원으로 위장하는 등 정교한 사회 공학 공격을 시도하고 있다. 이러한 공격은 실제 피해 사례가 많지는 않지만, 한 번 성공할 경우 기업이 입는 재정적 손실이 막대할 수 있다.

마누엘 아코스타(Manuel Acosta) 가트너 시니어 디렉터 애널리스트는 “위조 현실(Deepfake) 기술을 활용한 공격은 앞으로 더욱 정교해질 것이며, 이에 대비하기 위해 기업들은 내부 절차와 보안 정책을 강화해야 한다”고 강조했다. 또한 “직원들이 이러한 위협을 인지할 수 있도록 특화된 교육 프로그램을 운영하는 것이 중요하다”고 덧붙였다.

◆진화하는 보안 위협…기업의 적극적인 대응 필요

AI 에이전트를 활용한 공격 방식이 더욱 정교해지고 자동화되면서, 기업과 개인 모두 보안 전략을 재정비해야 할 필요성이 커지고 있다.

가트너는 기업들이 AI 에이전트의 위협을 탐지하고 대응할 수 있는 기술을 도입해야 하며, 특히 비밀번호 기반 인증 방식에서 벗어나 피싱 방지 다중 인증(MFA)으로의 전환을 적극 추진해야 한다고 조언했다. 또한 임직원들이 사회 공학 공격에 대한 경각심을 가질 수 있도록 지속적인 교육과 보안 정책 강화를 병행해야 한다고 강조했다.

보안 전문가들은 “AI 기반 공격은 지속적으로 발전하고 있으며, 기업들은 공격에 대비하기 위한 선제적 보안 조치를 강화해야 한다”며, “강력한 인증 방식 도입과 내부 보안 교육이 향후 보안 전략의 핵심 요소가 될 것”이라고 조언했다.

[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)

-주최: 데일리시큐

-일시 2025년 4월 15일(화) / 오전 9시~오후 5시

-장소: 한국과학기술회관 국제회의실 및 로비

-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)

-참가비: 현업 보안실무자는 무료

-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정

-등록마감: 2025년 4월 13일 오후 5시까지

-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가

-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록 필수: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

 

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2025 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
DigiCert Secured Site Seal
ND소프트