음성 사기, 이제 기업 내부 직원까지 노린다
“회사 핸드폰을 분실했어요. 비밀번호 다시 설정 부탁드립니다.”
회사 지원팀으로 걸려온 이런 전화, 평범한 직원의 부탁 같지만 실은 해커가 회사 시스템에 침입하려는 치밀한 계획이었다. 요즘은 인공지능으로 특정 사람의 목소리까지 그대로 복사해서 속이는 방법도 나타났다.
기업 보안에서 가장 취약한 부분인 ‘사람’을 심리적으로 파고드는 음성 사기, 소위 ‘비싱’이다.
개인 노린 보이스피싱 vs 기업 노린 비싱
보이스피싱이 불특정 다수를 대상으로 돈을 빼앗는 무작위 사기였다면, 요즘 비싱은 기업 시스템에 침투하기 위해 특정 직원의 목소리를 흉내 내는 정교한 심리전이 더해진 ‘목표형 공격’으로 진화했다.
구글 위협 정보 분석팀의 아시아·태평양 담당 수석 전문가 이하오 림은 지난 23일 미국 샌프란시스코에서 진행한 언론 인터뷰에서 “공격자가 정보기술 지원팀에 연락해 내부 직원인 것처럼 행동하며 접근 권한을 빼앗는 사례가 빠르게 늘고 있다”고 밝혔다.
사이버 침해 사고 조사 전문 업체 맨디언트의 ‘엠트렌드 2026’ 분석 자료를 보면, 전체 침해 사고 11%가 이런 음성 사기로 시작됐고, 클라우드 환경에서는 비율이 23%까지 올라갔다.
림 전문가는 “예전에는 시스템의 기술적 약점을 찾았다면, 지금은 사람을 속이는 ‘사회공학 기법’으로 중심이 이동했다”며 “기술 보안이 강해질수록 오히려 사람이 가장 약한 표적이 된다”고 강조했다.
딥페이크로 경영진 사칭, 340억 송금 사건
한 다국적 기업 직원이 화상 회의에 참여했다가, 딥페이크 기술로 정밀하게 조작된 최고재무책임자 임원진의 얼굴과 목소리에 속아 340억 원을 보낸 사건도 발생했다.
대기업 대신 협력사 노린다, 공급망 공격
기업들이 쉽게 놓치는 다른 치명적 위험은 ‘공격 경로’다.
해커들은 방어 시스템이 단단한 대기업을 바로 공격하지 않고, 보안이 상대적으로 약한 외주 협력사를 먼저 장악한 이를 통해 본사 내부망으로 침투한다. 이를 ‘공급망 공격’이라고 부른다.
림 전문가는 “대기업은 수천 개의 협력사와 파트너를 두고 있어서 이들을 하나하나 감시하는 거의 불가능하다”고 지적했다.
공격자들은 빼앗은 협력사 직원의 계정으로 가짜 이메일을 보내거나 정상 통신 경로를 악용하기 때문에 발견이 매우 어렵다.
그는 “그래서 자기 회사만 지키는 의미가 없다”며 “공급망 전체를 파악하고 파트너사와 함께 대응하는 ‘공동 방어’ 체계가 필수“라고 말했다.
인공지능이 공격까지 자동화, 위협 속도 급증
인공지능 에이전트가 공격 과정을 자동화하면서 위협의 속도도 차원이 달라졌다. 과거 해커가 직접 사기 문구를 쓰고 답변을 기다리던 수작업 시대는 끝났다.
이제 1명의 공격자가 인공지능을 이용해 수천 기업을 동시에 공격하고, 실시간으로 대화하며 속일 있는 환경이 것이다.
그는 “인공지능은 방어자의 효율성을 높여주지만, 공격자에게도 강력한 도구가 된다”며 “결국 완벽한 차단이 아니라 빠른 발견과 대응이 핵심”이라고 강조했다.
중국·러시아·이란·북한, 해킹 목적 제각각
그는 사이버 위협의 ‘빅4’로 불리는 중국, 러시아, 이란, 북한의 사이버 범죄 조직별 해킹 목적이 명확하게 나뉜다고 설명했다.
북한은 국제 제재를 피하기 위한 자금 확보가 최우선이라 암호화폐 탈취와 금융권 해킹에 집중한다.
중국은 국가 경쟁력 강화를 위한 기술·전략 정보 탈취가 목적이다. 주로 5세대 이동통신, 반도체, 군사·외교 기밀을 노린다는 그의 설명이다.
러시아는 지정학적 우위를 확보하기 위한 전쟁 심리전 수단으로 활용해, 국가 주요 기반시설 마비나 정보 조작에 능하다고 한다.
이란은 주로 보복 공격이나 정권 반대 세력 감시 정치적 목적과 기반시설 파괴에 초점을 맞추는 것으로 알려졌다.
인공지능 시대, 보안은 기술과 사람 모두 지켜야
인공지능 시대에 사이버 공격은 사실상 보이지 않는 전쟁이 셈이다.
림 전문가는 “이제는 ‘막을 있느냐’가 아니라 얼마나 빨리 발견하고 대응하느냐의 문제”라며 “인공지능 시대의 보안은 기술뿐 아니라 사람과 조직 전체를 함께 지켜야 한다”고 강조했다.
