“회사 휴대폰을 잃어버렸습니다. 비밀번호 재설정해주세요.”

한 기업의 헬프데스크로 걸려온 이 전화는 언뜻 평범한 직원의 요청처럼 보인다. 그러나 이는 회사 시스템 침투를 노린 해커의 치밀한 연기다.

최근에는 인공지능(AI)으로 특정인의 목소리를 그대로 복제해 속이는 수법까지 등장했다. 기업 보안의 가장 약한 고리로 꼽히는 ‘사람’을 심리적으로 공략하는 음성 기반 피싱, 이른바 ‘비싱(vishing, voice+phishing)’이다. 보이스피싱이 불특정 개인에 대한 그물치기식 금전 사기였다면, 최근의 비싱은 기업의 빗장을 열기 위해 특정 직원의 목소리를 흉내내는 고도의 심리전이 결합된 ‘표적형 침투’로 바뀌었다.

이하오 림 구글 위협 인텔리전스 그룹 아시아·태평양 지역 수석 자문은 지난 23일 샌프란시스코에서 가진 인터뷰에서 “공격자가 IT 지원팀에 전화를 걸어 내부 직원인 척 접근 권한을 탈취하는 사례가 급증하고 있다”고 밝혔다. 사이버 침해 사고 조사 및 정보 분석 전문 기업 맨디언트의 ‘엠트렌드 2026’ 보고서에 따르면, 전체 침해 사고의 11%가 이러한 비싱을 통해 시작됐으며, 클라우드 환경에서는 그 비중이 23%까지 치솟았다.

림 자문은 “과거에는 시스템의 기술적 허점을 찾았다면, 이제는 사람을 속이는 ‘사회공학적 기법’으로 무게중심이 옮겨갔다”며 “기술적 보안이 강해질수록 역설적으로 인간이 가장 취약한 타깃이 된다”고 강조했다. 다국적 기업의 한 직원이 화상회의에 접속했다가, 딥페이크 기술로 정교하게 조작된 최고재무책임자(CFO) 등 경영진의 모습과 목소리에 속아 약 2,260만 달러를 송금한 사건이 발생했다.

기업들이 간과하기 쉬운 또 다른 치명적 위협은 ‘공격의 경로’다. 해커들은 방어 체계가 견고한 대기업을 직접 공격하는 대신, 상대적으로 보안이 취약한 외주 협력사를 먼저 장악한 뒤 이를 발판 삼아 본사 내부망으로 침투한다. 이를 ‘공급망 공격’이라 부른다.

그는 “대기업은 수천 개의 협력사와 파트너를 보유하고 있어 이들을 일일이 감시하는 것은 불가능에 가깝다”고 지적했다.

공격자들은 탈취한 협력사 직원의 계정으로 위장 이메일을 보내거나 정상적인 통신 경로를 악용하기 때문에 탐지가 매우 어렵다. 그는 “이런 까닭에 자기 회사만 보호하는 것은 의미가 없다”며 “공급망 전체에 대한 가시성을 확보하고 파트너사와 함께 대응하는 ‘공동 방어’ 체계가 필수적”이라고 말했다.

AI 에이전트가 공격의 전 과정을 자동화하면서 위협의 속도 역시 차원이 달라졌다.

과거 해커가 직접 피싱 문구를 쓰고 응답을 기다리던 수작업 시대는 끝났다. 이제 1명의 공격자가 AI를 활용해 수천 개의 기업을 동시에 공격하고, 실시간으로 대화하며 속일 수 있는 환경이 된 것이다. 그는 “AI는 방어자의 생산성을 높여주지만, 공격자에게도 강력한 무기가 된다”며 “결국 완벽한 차단이 아닌 빠른 탐지와 대응이 핵심”이라고 강조했다.

그는 이른바 사이버 위협의 ‘빅4’로 불리는 중국, 러시아, 이란, 북한 사이버 범죄 조직별 해킹 목적이 뚜렷하게 구분된다고 설명했다. 북한은 국제 제재를 회피하기 위한 금전 확보가 최우선인 만큼 암호화폐 탈취와 금융권 해킹에 집중한다.

중국은 국가 경쟁력 강화를 위한 기술·전략 정보 탈취가 목적이다. 주로 5G, 반도체, 군사·외교 기밀을 노린다는 게 그의 설명이다.