[파이낸셜뉴스] "모바일 보안 위협은 더 이상 기업의 정보기술(IT) 담당자가 해결할 문제를 넘어선 글로벌 규모의 거시경제 리스크다."
조대곤 연세대학교 경영대학교 교수는 1일 여의도 국회에서 열린 '안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나'에서 "글로벌 사기 피해액은 2024년 기준 연간 1조 300억달러로, 당시 한국 국내총생산(GDP)의 60%에 달하는 수준"이라며 이같이 말했다.
조 교수에 따르면 2024년 전 세계에서 차단된 모바일 공격은 약 3300만건으로, 하루 평균 9만건에 달한다. 실제 공격 규모는 이보다 훨씬 클 것으로 추정된다. 국내 피해 역시 빠르게 증가하고 있다.
조 교수는 누구나 해킹할 수 있을 정도로 사이버 공격이 산업화되고 있는 점을 지적했다. 조 교수는 "과거에는 전문 해커 집단만이 공격할 수 있었다면 이제는 서비스형 악성코드(MaaS)로 누구나 해킹을 시도할 수 있게 됐다"며 "MaaS는 개발, 고객 지원, 구독 결제까지 갖춘 형태로 운영되며 2000달러 수준이면 이용이 가능하다"고 말했다.
인공지능(AI)과의 결합으로 공격 양상도 정교해지고 있다. 조 교수는 "기기 화면을 캡쳐해 온디바이스 AI로 분석한 뒤 사용자 몰래 기기를 조작하는 방식인 AI 기반 안드로이드 악성코드 '프롬프트스파이'가 최근 발견됐다"며 "딥페이크, 음성 복제 기술도 등장하며 피싱 성공률은 12%에서 60%로 상승했고, 공격 제작 시간도 수일에서 5분 수준으로 단축됐다"고 지적했다.
이에 플랫폼은 앱에서 발생하는 악성코드, 정보 수집 등을 막기 위해 대처에 나서고 있다. 구글은 지난해 175만개의 악성 앱과 8만개 개발자 계정을 차단했다. 애플도 2024년 193만건의 앱 등록을 거부하고 20억달러 이상의 사기 거래를 차단했다.
다만 우회 방식 공격이 확산되면서 사후 대응이 아닌 예방 중심 체계로의 전환 필요성이 커지고 있다. 조 교수는 "해커들이 앱 심사 단계에서는 깨끗한 앱을 제출해 사용자 데이터를 확보한 뒤, 소프트웨어 업데이트 때 악성코드를 심는 우회 방식을 악용하고 있다"며 "앱 설계 단계부터 보안을 내재화할 수 있도록 예방 중심 체계로 전환해야 한다"고 강조했다.
이날 정부도 AI 고도화와 모바일 해킹 증가에 대비한 전주기적 대응 방안을 모색하고 있다는 입장을 밝혔다. 이종혁 과학기술정보통신부 정보보호산업과장은 "에이전틱 AI를 이용한 보안 시스템 구축을 위해 지원 사업을 준비하고 있다"며 "AI 시스템 개발부터 배포까지 전 과정에 있어서도 보안을 내재화하는 '시큐리티 포 AI' 정책도 고민 중"이라고 설명했다.
소프트웨어 공급망 보안 강화에도 나서고 있다. 이 과장은 "앱 이용자 뿐 아니라 앱을 개발하는 스타트업들은 오픈소스나 서드파티 소프트웨어를 많이 사용하는데, 이때 발생하는 보안 위협에 즉각 대처할 수 있는 탐지 체계를 구축하고자 한다"며 "KISA와 함께 연구반을 마련해 스타트업 등 기업 랜섬웨어 피해를 줄이기 위한 방안도 연구 중"이라고 덧붙였다.
심아미 방송미디어통신위원회 디지털이용자기반과장은 "보안 위협이 실제 이용자 피해로 이어지는 경로를 차단하는 데 집중하고 있다"며 "악성코드 유포와 피싱으로 이어지는 주요 통로인 '불법 스팸' 대응 정책을 강화 중"이라고 말했다. 심 과장은 "불법 스팸 대응 정책 강화 이후 1인당 월평균 문자 수신량이 약 75% 감소했다"고 했다. 방미통위는 불법 스팸 방지 역량이 검증된 사업자만 시장에 진입할 수 있도록 하는 '전송 자격 인증제' 도입도 추진 중이다.
불법 행위에 대한 제재도 강화된다. 심 과장은 "최근 불법 스팸 전송자, 스팸 방지 의무를 다하지 않은 사업자의 경우 매출의 최대 6%까지 과징금을 부과하고 범죄 수익 환수를 할 수 있는 개정안이 국무회의를 통과했다"며 "관련 시행령 등 하위 법령도 마련해 나갈 계획"이라고 덧붙였다.
kaya@fnnews.com 최혜림 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지