Article at a Glance

홍콩에서 한 회사가 딥페이크 화상회의로 300억 원을 탈취당한 사건, 대기업 내부 기밀이 직원들의 섀도 AI 사용으로 외부에 유출된 사건 등은 AI가 더 이상 기술 부서만의 문제가 아니라 경영 리스크 그 자체임을 보여준다. 특히 프롬프트 인젝션처럼 AI의 작동 원리를 교묘히 악용하는 공격은 기존 보안 체계만으로 막기 어렵다. 결국 핵심은 AI를 통제 불가능한 도구가 아니라 관리 가능한 시스템으로 끌어올리는 것이다. 이를 위해서는 CEO의 직접 관여, 충분한 보안 예산 배정, 사람 중심의 최종 승인, 반복적인 교육 등이 필요하다. 특히 아무리 기술적 방어가 강해도 마지막 방어선은 사람인 만큼 경영진·개발자·일반 직원별 맞춤 교육을 통해 보안 인식을 조직문화로 내재화해야 한다.

---

25분의 화상회의로 날아간 300억 원

2024년 2월 홍콩의 한 회사 재무팀 직원에게 급한 화상회의 요청이 들어왔다. 화면에는 영국 본사 재무 담당 임원과 여러 동료가 보였다. 목소리도, 얼굴도, 말투도 재무팀 직원이 알던 동료들이었다. 회의 진행은 완벽했다.

“비밀 인수합병 건이라 급합니다. 300억 원을 지금 당장 송금해주세요.”

직원은 처음엔 이상하다고 생각했다. 하지만 화면 속 사람들의 모습과 행동이 너무나 자연스러웠다. 다른 동료들도 고개를 끄덕이며 동의했다. 25분간의 회의 끝에 그는 15번에 걸쳐 총 300억 원을 송금했다. 일주일 뒤 충격적인 사실이 밝혀졌다. 화면 속 모든 사람이 AI가 만든 가짜였다. 딥페이크라는 기술로 만든 완벽한 복제 인간들이었던 것이다. 가상이 아닌 실제로 일어났던 이 사건은 우리에게 이런 질문을 던진다.

“당신 회사는 AI 시대에 잘 준비돼 있는가?”


회사 몰래 쓰는 AI,
그림자 AI(shadow AI)의 습격

1. S전자를 긴장시킨 세 명의 직원

2023년 4월 S전자 반도체 부서에서 일어난 일이다. 한 엔지니어가 챗GPT에 반도체 장비 데이터를 입력했다. “이 코드에서 오류를 찾아 줘.” 다른 직원은 회의록 전체를 복사해서 붙여넣고 “요약해 줘”라고 했다. 또 다른 직원은 불량품 데이터를 올리며 “분석해 줘”라고 요청했다.

인기기사