by Wizard

AI 시대, 당신의 비밀번호는 안전한가? 애플 보안 권고를 주목해야 하는 이유

최근 애플은 사파리 브라우저의 유용한 비밀번호 관리 기능을 독립적인 앱 ‘암호(Passwords)’로 출시했습니다. 이 앱을 사용하다 보면 ‘보안 권고’라는 섹션을 발견하게 되는데, 여기에는 유출되었을 가능성이 있는 계정과 비밀번호 목록이 표시됩니다. 만약 이 목록을 무심코 지나쳤다면, 지금이라도 주의 깊게 살펴보아야 합니다. 생성형 AI(GenAI)의 발전은 유출된 비밀번호와 탈취된 ID로 인한 위협의 규모와 성격을 더욱 심각하게 만들기 때문입니다.

AI와 함께 진화하는 사이버 공격

범죄자들은 훔친 이메일 주소와 비밀번호를 이용하여 인기 있는 온라인 서비스를 공격하는 데 더욱 능숙해질 것입니다. 이미 다크 웹에서는 헐값에 거래되는 이메일-비밀번호 조합을 활용하여 다양한 서비스에 무작위 대입 공격을 시도하는 경우가 많습니다. GenAI는 이러한 공격의 효율성을 극대화하여, 방대한 양의 유출된 계정과 비밀번호를 더욱 빠르게 처리할 수 있도록 돕습니다.

취약한 비밀번호, 기업의 가장 큰 위험 요소

Verizon의 보고서에 따르면, 작년에 발생한 공격의 약 80%가 유출된 자격 증명을 이용한 것이었습니다. 온라인에는 약 150억 개의 유출된 자격 증명이 존재하지만, 대부분은 쓸모없는 정보입니다. 하지만 공격자들이 운 좋게 유효한 자격 증명을 발견하는 경우, 피해자는 빠르게 보안을 강화하지만, 여전히 소수의 사용자는 취약한 상태로 남아있게 됩니다. 이러한 공격은 매년 수백만 달러의 손실을 초래합니다.

개인 정보 보호, 기업 보안의 시작

개인 사용자뿐만 아니라 기업 사용자에게도 이중의 과제가 존재합니다. 직원들은 여전히 시스템의 가장 큰 보안 취약점이며, 피싱 공격은 이러한 약점을 악용하도록 진화하고 있습니다. 직원이 업무용 이메일과 비밀번호를 보안이 취약한 웹사이트에 사용했을 경우, 공격자는 이 정보를 이용하여 기업 시스템을 해킹할 가능성이 있습니다.

AI 기반 피싱 공격의 등장

AI는 개인의 소셜 미디어 데이터를 분석하여 더욱 정교한 피싱 공격을 가능하게 합니다. 공격자들은 AI 에이전트를 활용하여 공격 대상에 대한 정보를 수집하고, 맞춤형 피싱 이메일을 제작할 수 있습니다. 이러한 ‘스피어 AI’ 공격은 기존의 피싱 공격보다 훨씬 더 높은 성공률을 보일 수 있습니다.

비밀번호 외 다른 보안 수단 활용

물론, 비밀번호만이 유일한 보안 수단은 아닙니다. 중요한 웹사이트에는 2단계 인증(2FA) 또는 패스키(Passkeys)를 사용하고, 금융 정보나 결제 정보가 저장된 계정은 더욱 철저하게 보호해야 합니다. 생체 인증과 같은 다양한 형태의 ID 인증 시스템이 도입되고 있지만, 이러한 시스템을 우회하는 새로운 공격 또한 끊임없이 등장하고 있습니다. 최근에는 Google Chrome의 비밀번호 관리자를 공격하는 새로운 AI 공격이 발견되기도 했습니다.

보안 불감증, 스스로 자초하는 위험

가장 중요한 것은 애플의 보안 권고 도구가 제공하는 경고에 주의를 기울이는 것입니다. 모든 계정에서 비밀번호를 재사용하지 말고, 비밀번호 관리자와 2FA와 같은 다른 보안 수단을 활용해야 합니다. 또한, 신뢰할 수 있는 출처에서 온 것처럼 보이는 이메일이라도 의심스러운 링크가 포함되어 있다면 주의해야 합니다.

유출된 자격 증명을 확인하고, 비밀번호를 변경하고, 더 이상 사용하지 않는 계정을 닫고, 결제 정보를 삭제하십시오. 기업은 계정이 해킹당했을 경우를 대비한 대응 계획을 수립하고, 경험이 풍부한 직원들에게도 보안 교육을 제공해야 합니다. 무엇보다 중요한 것은 절대, 절대로 유출된 비밀번호를 재사용하지 않는 것입니다.