사이버 보안 위협 2026

해커들이 AI를 쓰기 시작했다

2025년 한 해 동안 전 세계 사이버 공격이 전년 대비 38% 늘었다. Crowdstrike 리포트에 따르면 AI를 활용한 공격 비율이 처음으로 20%를 넘었다.

예전에는 해킹이 상당한 기술적 역량을 필요로 했다. 이제는 AI가 피싱 이메일을 사람보다 자연스럽게 쓰고, 취약점 스캔을 자동으로 돌리고, 소셜 엔지니어링 시나리오까지 짜준다.

다크웹에서 FraudGPT라 불리는 악성 AI 도구가 월 200달러에 거래되고 있다. 누구나 정교한 피싱 캠페인을 만들 수 있는 시대가 됐다. (솔직히 좀 소름 끼친다.)

해킹의 진입 장벽이 극적으로 낮아진 거다. 수년간 공부해야 할 수 있던 공격을 프롬프트 몇 줄로 할 수 있게 됐으니까.

첫째, 공급망 공격이 급증하고 있다. 2025년에만 npm 패키지를 통한 악성코드 배포가 1,500건 이상 발견됐다. PyPI도 비슷하다. 우리가 아무 생각 없이 npm install 하는 그 패키지가 백도어일 수 있다.

한 프로젝트에서 패키지 메인테이너 계정이 탈취당해 악성 코드가 주입된 적이 있었다. CI 보안 스캔에서 걸려서 다행이지 아니었으면 프로덕션까지 갔을 거다. 식은땀이 났다.

둘째, AI 생성 코드의 취약점. 스탠포드 연구에 따르면 AI가 생성한 코드의 한 40%에 최소 하나 이상의 보안 취약점이 있었다. SQL 인젝션, XSS, 하드코딩된 시크릿 같은 것들. AI가 짜준 코드를 검증 없이 쓰는 개발자가 많아질수록 이 문제는 커진다.

셋째, API 보안이다. 마이크로서비스가 보편화되면서 API 엔드포인트가 기하급수적으로 늘었는데, 특히 "어차피 내부용이니까" 하고 인증 없이 만든 API가 VPN 침투 한 번으로 완전히 노출될 수 있다. 제로 트러스트가 단순한 유행어가 아닌 이유가 여기에 있다.

라고들 하지만, 실제로는 개발 문화가 더 중요하다.

SAST, DAST, SCA, CSPM, CNAPP. 약자만 봐도 머리가 아프다. 보안 도구는 이미 넘쳐난다. 문제는 도구가 없어서가 아니라 경고를 무시해서다.

한 조사에 따르면 기업 보안 도구가 생성하는 경고의 45%가 false positive다. 하루에 수십 개 경고를 받으면 결국 진짜 위협도 "또 false positive겠지" 하고 넘기게 된다. 양치기 소년 문제랑 똑같다.

도구가 너무 많은 거짓 경보를 울리면, 진짜 늑대가 왔을 때 아무도 반응 안 한다. 정확한 경고 10개가 부정확한 경고 100개보다 낫다.

거창한 프레임워크보다 작은 것들이 더 효과적이다.

npm audit을 CI에 넣고, 주기적으로 의존성 업데이트하고, lockfile을 반드시 커밋에 포함하자. Dependabot만 켜도 절반은 해결된다.

AI가 생성한 코드는 반드시 리뷰하자. 특히 인증, 인가, 데이터 검증 관련은 사람이 확인해야 한다. AI가 만든 코드를 그대로 머지하는 건 인턴이 짠 코드를 리뷰 없이 머지하는 거랑 같다. (내가 보기엔 더 위험할 수도 있다.)

API 키를 코드에 하드코딩하지 말자. 당연한 이야기 같은데 GitHub 공개 리포지토리의 시크릿 노출이 2025년에도 1,200만 건을 넘었다. GitGuardian 같은 도구를 pre-commit hook에 걸어두면 실수를 방지할 수 있다.

보안을 나중에 하자고 미루는 프로젝트를 많이 봤는데, 그 나중에는 대부분 사고 터지고 나서다. 그때 고치는 비용은 처음부터 챙기는 비용의 10배다.

IBM 리포트 기준 데이터 유출 1건 평균 비용이 488만 달러다. 보안에 투자하는 비용은 그 몇 분의 1에 불과하다.

처음부터 챙기면 되는 건데 왜 안 하는지 솔직히 좀 의문이다. 테스트 짜듯이 보안도 개발 과정에 자연스럽게 녹여야 하는 건데, 말은 쉽고 실천은 어렵다는 걸 매번 느낀다.