2027년 인공지능(AI) 에이전트가 사용자 계정 탈취(ATO) 시간을 기존 대비 50% 줄일 것이라는 전망이 나왔다.
20일 가트너는 AI 에이전트는 딥페이크 기술을 악용한 사회 공학 공격부터 사용자 자격증명 악용의 종단간 자동화까지 더 많은 계정 탈취 단계를 자동화할 수 있다며 이같이 밝혔다.
제레미 드호인 가트너 VP 애널리스트는 “계정 탈취는 여전히 해커들의 주요 공격 수단”이라며 “데이터 유출, 피싱, 사회 공학, 멀웨어 등 다양한 방법으로 비밀번호를 수집한 해커는 사용자가 여러 사이트에서 같은 비밀번호를 사용한다는 것을 염두에 두고 자동화 봇을 이용해 여러 서비스에서 로그인을 시도한다”고 설명했다.
가트너는 기업들이 AI 에이전트가 관여하는 상호작용을 탐지·모니터링·분류할 수 있는 웹, 애플리케이션, API, 음성 채널 제품을 도입할 것이라고 예상했다.
아키프 칸 가트너 VP 애널리스트는 “진화하는 위협에 대응하기 위해 보안 리더는 비밀번호를 요구하지 않는 피싱 방지 다중 인증(MFA)을 도입해야 한다”며 “비밀번호 사용 체계에서 다중 장치 패스키로 전환을 유도하고 장려하는 교육과 인센티브를 제공해야 한다”고 조언했다.
소셜 엔지니어링(사회공학) 공격도 기업 사이버 보안에 중대한 위협이 될 것으로 전망됐다. 가트너는 2028년까지 사회공학 공격의 40%가 기존보다 광범위한 대상을 표적으로 삼을 것으로 내다봤다. 공격자들은 현재 딥페이크 음성이나 영상과 같은 위조 현실 기술을 사회공학 공격기법과 결합해 정교한 공격을 시도하고 있다.
특히 다양한 플랫폼에서 실시간 이뤄지는 개인 간 음성·영상 소통처럼 공격 표면이 넓으면 보다 심각한 피해가 발생할 수 있지만 탐지 기술은 아직 초기단계 수준으로 평가된다.
마누엘 아코스타 가트너 시니어 디렉터 애널리스트는 “기업은 위조 현실 기술을 악용한 공격에 효과적으로 대응해야 한다”며 “딥페이크 기술을 이용한 사회공학 공격에 특화된 교육으로 직원에게 진화하는 위협 환경을 인식시키는 게 핵심”이라고 강조했다.
박종진 기자 truth@etnews.com
![[Today’s PICK] 사이버보안 스타트업, 46조 몸값 쳐준 구글](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202503/20/179b2c5f-c01f-42b4-8186-a050be1c76ce.jpg)
![기업은행, 통신 3사와 AI 보이스피싱 차단 [S머니-플러스]](https://newsimg.sedaily.com/2025/03/21/2GQC0RLHH4_1.jpg)
