작성자: 존 슐레겔(Jon Schlegel), CLEAR 최고보안책임자(CSO)

 

작성자: Jon Schlegel

보도일자: 2025년 10월 29일

출처: Biometricupdate.com

 

지난 7월, 미 국무부가 전 세계 외교관들에게 보낸 경고문은 마치 예상보다 훨씬 빠르게 현실이 된 SF 영화 속 이야기 같았다. 정체불명의 인물이 AI 기반 소프트웨어를 이용해 마르코 루비오(Marco Rubio) 국무장관의 음성과 문자 메시지를 완벽히 모방, 각국의 고위 외교관들에게 메시지를 보내고 있었다는 것이다.

 

국무부는 이 사칭자가 외무장관, 미 주지사, 의원 등을 조종해 민감한 정보나 계정 접근 권한을 얻으려 한 것으로 보인다고 경고했다. 다행히 시도는 실패로 끝났지만, 공학 기업 Arup은 작년에 같은 유형의 공격을 피하지 못했다. 해당 기업의 한 직원은 AI로 조작된 영상통화(deepfake video call)에 속아, 회사의 CFO를 사칭한 사기범들에게 2,500만 달러(약 340억 원)를 송금한 것이다. 이 경우 해커가 침입한 것이 아니라, 시스템이 진짜와 가짜를 구분하지 못해 스스로 문을 열어준 셈이었다.

 

이러한 경고 사례(cautionary tale)는 이미 수백 건으로 늘어나고 있다. 딥페이크, 위조 신원 증명, 데이터 유출, 디지털 기반(digital deception)이 만연한 시대에 공격받는 것은 단순히 네트워크가 아니다 – 이제는 ‘무엇이 진짜인지, 화면 뒤에 누가 있는지’ 확인할 수 있는 우리의 능력 자체가 공격받고 있다. 복제된 음성, 합성된 얼굴은 물리적 세계와 디지털 세계의 경계를 점점 흐리게 만들며, 공격자들이 우리의 신원을 훔치고 이를 무기로 삼아 가장 민감한 시스템을 위협할 수 있는 정교한 수단을 손에 쥐게 했다. 이제 우리는 더 이상 외면할 수 없는 위협과 맞서고 있다.

 

고도화되는 공격 속, 보안 강화를 위한 필연적 과제

국가안보국(NSA)부터 포춘 500대 기업까지, 공공과 민간을 아우르는 수십 년의 사이버보안 경력을 쌓아온 최고보안책임자(CSO)로서 나는 ‘신원 기반 공격(Identity-based threats)’이 폭발적으로 증가하고 있음을 목격해왔다. 오늘날, 화면 반대편의 상대가 실제로 누구인지 확인하는 일은 그 어느 때보다 시급하다. 비밀번호와 보안 질문만으로는 더 이상 신원을 보장할 수 없다. 최고 수준의 인증과 진화하는 위협으로부터의 방어를 위해서는 생체인식 인증(Biometric Verification)이 필수적이다.

 

공격자들은 위협 체인의 모든 단계에서 ‘신원 확인의 틈(gaps in identity)’을 악용하고 있다. 2024년 FBI 사이버범죄신고센터(IC3)는 랜섬웨어 관련 신고가 전년 대비 9% 증가, 그 전 해의 87% 급증에 이어 또다시 상승세를 기록했다고 발표했다. 특히 금융 서비스 분야는 서비스 공격 대상 주요 5대 핵심 인프라 산업 중 하나로 꼽혔다.

 

또한, 피해자의 기기에서 민감한 데이터를 몰래 수집해 공격자에게 전송하는 ‘인포스틸러(Infostealer)’ 악성코드 감염 사례는 두 배 이상 증가했다. 서비스형 랜섬웨어(Ransomware-as-a-Service, Raas) 모델은 공격을 ‘상품화’하여 누구나 손쉽게 협박 캠페인을 실행할 수 있게 만들었고, AI 기반 기만(Deception) 기술은 대부분의 기업이 탐지할 수 있는 속도보다 훨씬 빠르게 확산되고 있다. 일부 추정에 따르면, 사기(Fraud)로 인한 미국 기업의 연간 피해액은 5,000억 달러를 넘어섰으며, 그 중심에는 바로 ‘신원 기반 공격’이 자리하고 있다.

 

공격자들 중 상당수는 조직적으로 움직이며 그 수준 또한 놀라울 만큼 정교하다. 미국 정부 기관들에 의해 최근 확인된 중국 정부 후원 해킹 조직 ‘볼트 타이푼(Volt Typhoon)’은 에너지, 수도, 교통, 통신망 등 주요 기반시설에 연결된 카메라와 센서 시스템에 침투한 것으로 드러났다. 또한 랜섬웨어 조직들은 스타트업처럼 운영되며, 제휴 파트너 등록(affiliate onboarding), 고객 지원(customer support), 수익 분배(profit-sharing) 모델을 통해 공격 규모를 빠르게 확장하고 있다. 게다가 딥페이크(Deepfake) 기술은 이제 허술한 신원 확인 절차를 손쉽게 우회할 정도로 발전했다.

 

그러나 의료, 금융, 유통 등 핵심 산업 전반에서 사용되는 신원 확인 시스템은 여전히 근본적으로 취약하다. 이제 이는 단순한 시스템 현대화의 문제가 아니라, 국가 안보(National Security)의 문제로 발전했다.

 

현대적 신원 인증을 통한 신뢰의 재구축

희망적인 소식은, 디지털 신원을 강화하기 위한 인프라가 이미 존재하며, 더 많은 산업 분야가 이를 도입하도록 기업들이 적극적으로 움직이고 있다는 점이다. CLEAR는 공항 보안으로 잘 알려져 있지만, 실제로는 여행을 넘어서는 고도 보안 신원 인증 플랫폼을 구축했다. 이는 15년 이상 축적된 경험을 바탕으로, 가장 규제가 엄격한 환경에서 신뢰받는 인증 기준을 세워온 결과물이다. 생체정보, 신분증, 기기 정보, 신뢰할 수 있는 제3자 데이터베이스 등 수백 가지 신호(Signal)를 종합해 신원을 검증하는 플랫폼은 이제 수많은 산업에서 신원 확인과 보안 방식을 근본적으로 혁신하고 있다. 예를 들어, 원격 근로자의 신원 검증, 환자의 의료 기록 접근 간소화 등 다양한 분야에서 신원 인증 플랫폼이 핵심 역할을 하고 있다. 이러한 선도적 디지털 플랫폼들은 데이터 프라이버시를 철저히 보호하고, 사용자의 신원을 안전하게 관리하도록 설계되어 있다. 이는 모든 해킹, 사기, 시스템 장애 사례를 관통하는 하나의 진실을 보여준다. 결국 ‘신원(identity)’이야말로 모든 것을 연결하는 핵심 실(threads)이다.

 

이제 필요한 것은 공유된 위기의식(shared urgency)과 미래로의 과감한 전환 의지다. 우리는 신뢰와 상호운용성(interoperability)을 기반으로 한 공공-민간 협력체계, 고신뢰 인증(high-assurance) 솔루션의 채택을 촉진하는 정책, 그리고 낡은 검증 방식과의 단호한 결별이 필요하다. 신원(Identity) 문제를 해결함으로써, 우리는 피해가 발생하기 전에 공격자를 문 앞에서 차단할 수 있다.

 

저자 소개

존 슐레겔(Jon Schlegel)은 보안 신원 인증 기업 CLEAR의 최고보안책임자(CSO)이다.