“AI 공격이 표준이 된다”…구글 클라우드, 2026년 사이버 보안 5대 위협 제시

생성형 AI·섀도우 에이전트·공급망 보안 의무화가 내년 핵심 키워드로 부상

구글 클라우드(Google Cloud)는 ‘2026년 사이버 보안 전망 보고서(2026 Cybersecurity Forecast Report)’를 발표하고, AI를 활용한 공격이 새로운 표준으로 자리잡을 것이라고 전망했다.

보고서는 AI 기술이 방어가 아닌 공격의 영역으로 확산되면서 오는 2026년은 전 세계 사이버 보안 패러다임이 근본적으로 바뀌는 전환점이 될 것이라고 내다봤다.

보고서에 따르면, AI를 이용한 공격은 이제 일부 예외적인 사례가 아니라 새로운 ‘기본값’이 될 가능성이 크다. 단순한 피싱 문구 생성 수준을 넘어, 음성·영상 딥페이크 등 멀티모달 AI가 결합된 공격이 빠르게 확산될 것으로 예측됐다.

공격자는 경영진이나 협력사를 정교하게 사칭해 신뢰 관계를 무너뜨리고, 실제 인물처럼 설득력 있는 언어와 표정을 재현해 대규모 비즈니스 이메일 침해(BEC)나 보이스 피싱을 시도할 것으로 보인다.

AI의 확산은 또 다른 형태의 위험을 낳고 있다. 조직 승인 없이 사용되는 ‘섀도우 에이전트(Shadow Agent)’가 그 중 하나다.

보고서는 자율형 AI 도구가 내부 승인 없이 배포될 경우, 통제가 불가능한 데이터 파이프라인이 생성돼 민감한 정보 유출과 규정 위반으로 이어질 수 있다고 경고했다. AI가 조직의 업무 자동화 효율을 높이는 동시에, 관리 사각지대를 만드는 새로운 위험 요인으로 작용하고 있다는 것이다.

전통적인 랜섬웨어와 데이터 탈취형 공격도 여전히 가장 큰 피해를 일으키는 사이버 위협으로 꼽혔다. 공격자들은 제3자 공급망이나 제로데이 취약점을 이용해 다단계 연쇄 공격을 감행하고 있으며, 사회적 혼란을 유발하는 정치·경제적 목적의 공격도 이어질 것으로 예상된다.

특히 가상화 환경 확산에 따라 하이퍼바이저(virtual hypervisor)를 노린 침투가 증가하고, 한 번의 침해로 전체 인프라를 장악하는 ‘확장형 공격’이 늘어날 가능성도 지적됐다. 국가 주도의 해킹 활동도 한층 정교해질 전망이다.

보고서는 러시아가 우크라이나 전쟁을 넘어 장기적인 글로벌 전략 목표 달성에 집중하고, 북한은 암호화폐 탈취와 딥페이크를 활용한 고수익 작전을 확대할 것으로 내다봤다. 중국은 엣지 디바이스와 제3자 공급망을 활용한 대규모 작전을 이어가며, 이란은 지정학적 긴장 속에 와이퍼 악성코드를 이용한 교란형 공격을 지속할 것으로 예측됐다.

또한 2026년 아시아태평양 지역에서는 외교관을 표적으로 한 스파이 활동이 본격화할 것으로 보인다. 아세안 정상회의, APEC, 태평양제도포럼 등 주요 외교·안보 행사가 늘어나면서, 외교 인사와 정부 관계자들을 노린 첩보성 공격이 확산될 가능성이 높다.

이와 함께 차량 탑재형 가짜 기지국(Fake Base Station, FBS)을 활용한 피싱 문자(SMS) 범죄도 꾸준히 이어질 것으로 분석됐다. 이 공격은 합법적인 셀룰러 신호를 가장해 이용자를 피싱 사이트로 유도하는 수법으로, 텔레그램 등 메신저를 통해 모집된 하위 인력이 실행하는 사례가 다수 확인되고 있다.

보고서는 마지막으로 공급망 보안 의무화를 내년 주요 정책 변화로 꼽았다. 한국과 일본 모두 최근 대형 침해 사고를 계기로 관련 법제 강화에 나서고 있으며, 한국은 통신 등 핵심 분야 중심의 방어 체계를 전면 개편 중이다. 특히 일본은 2026 회계연도부터 ‘사이버 보안 대책 평가 시스템(Cybersecurity Measures Evaluation System)’을 도입해 반도체 등 제조 산업의 보안 기준을 국제표준 ISO/IEC 15408 수준으로 끌어올릴 예정이다.

구글 클라우드는 보고서를 통해 “2026년은 AI가 공격의 핵심 수단으로 자리잡는 첫 해가 될 것”이라며 “AI 활용이 불가피한 시대일수록 기술 혁신 속도에 맞춘 새로운 보안 기준과 거버넌스 체계가 필요하다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network