SK텔레콤·GS·예스24 등 연이은 국내 보안 사고...다크웹 연계성 뚜렷
IITP 국책과제로 개발된 S2W 다크버트, 다크웹 언어 해독으로 대응 속도 강화
AI가 위협과 방어 모두를 바꾸는 가운데 한국 기업 보안 역량은 여전히 취약
국내 주요 기업 덮친 다크웹 보안 위협
다크웹은 구글 같은 일반 검색엔진에 노출되지 않는 비공개 인터넷 영역으로 특수 브라우저를 통해서만 접근할 수 있는 익명성 기반 공간이다. 마약과 무기 거래, 해킹 도구 유통뿐 아니라 대규모 개인정보와 기업 기밀이 은폐된 네트워크 안에서 매일 거래되고 있다. 이처럼 다크웹은 사이버범죄의 은신처이자 정부와 기업이 동시에 직면한 가장 현실적인 위협 전선이다. 최근 국내 주요 기업과 기관에서 발생한 보안 사고는 다크웹과 직·간접적으로 얽혀 있으며 동시에 AI 기술의 급격한 발전은 보안 공격과 방어 양쪽에서 새로운 국면을 열고 있다.
AI와 다크웹이 교차하는 보안 리스크
IITP 보고서에 따르면 2025년 전 세계 사이버범죄로 인한 손실 규모는 10.5조 달러에 이를 것으로 전망된다. 이는 초당 약 33만 달러가 피해로 발생하는 수준이며 사이버범죄 산업을 하나의 국가로 가정하면 미국과 중국에 이어 세계 3위 경제 규모에 해당한다. 특히 AI의 발전은 사이버 위협을 대중화하고 있다. AI 기반 보이스피싱은 2024년 하반기 기준 상반기 대비 442% 증가했으며 현지 억양을 완벽하게 구현하는 음성 합성과 스크립트 자동화 기술은 탐지를 어렵게 만든다. 여기에 AI 에이전트가 스스로 공격 경로를 계획·실행하는 자율 해킹까지 현실화되면서 방어자 예측을 뛰어넘는 새로운 위협으로 대두됐다. UC버클리 연구팀은 2025년 대규모 오픈소스 코드 실험에서 제로데이 15개를 AI 에이전트가 탐지했다고 발표했다. 이는 중급 해커 이상의 능력을 AI가 이미 확보했음을 의미한다.
동시에 다크웹은 언센서드(Uncensored) AI 모델이 거래되는 시장으로 변모하고 있다. WormGPT, FraudGPT, DarkestGPT 같은 범죄 특화 AI 도구가 활발히 거래되고 있으며 이들은 피싱 이메일·악성코드 생성, 취약점 공격 스크립트 자동화를 지원한다. 더 나아가 AI 기반 랜섬웨어 서비스(RaaS) 모델과 바이브 해킹(Vibe Hacking) 개념이 등장해 기술 지식이 없는 일반인도 ‘AI에게 원하는 공격을 말하면 실행’하는 수준으로 사이버 범죄의 진입 장벽을 낮췄다.
SKT·KS한국고용정보·예스24...다크웹과 맞닿은 보안 사고들
올해 4월 발생한 SK텔레콤 해킹 사건은 국내 최대 규모 개인정보 유출 사고로 기록됐다. 공격자는 2022년부터 내부망에 잠입해 장기간 은폐 활동을 이어왔고 약 2324만 명 가입자의 USIM 인증키, IMSI, 전화번호 등 핵심 데이터를 탈취했다. 일부 고객 이름과 생년월일도 노출돼 국가 전체 인구 절반 가까이가 잠재적 피해자가 됐다. 이 정보는 다크웹에 직접 공개된 정황은 없었지만, 국가 차원의 첩보 목적 공격일 가능성이 제기됐다. 개인정보보호위원회는 SK텔레콤에 1348억 원의 과징금을 부과하고 무료 USIM 교체 및 보안 체계 전면 개편을 명령했다.
마찬가지로 올해 4월 발생한 KS한국고용정보 해킹 사건은 다크웹과 직접 연결이 뚜렷하게 드러난 사례다. 직원·계약직 약 3만6천 명 데이터가 유출됐으며 주민등록증, 운전면허증, 급여명세서, 가족관계증명서 등 22GB 분량의 민감 문서가 포함됐다. 해커는 다크웹 포럼에 해당 데이터를 1만5천 달러에 판매한다는 게시글을 올렸고 실제 신분증 이미지 샘플을 첨부해 데이터 진위를 입증했다. 이는 국내 기업의 민감 정보가 다크웹에서 실시간 거래된 대표적 사례로 기록됐다.
예스24 랜섬웨어 사건은 다크웹 기반 랜섬웨어 조직 위협을 보여준다. 올해 6월 발생한 공격으로 예스24 웹·앱 서비스가 나흘간 전면 중단됐고 뒤이어 8월에도 두 번째 공격으로 약 7시간 서비스 장애가 이어졌다. 초기 조사에서는 고객 데이터 유출이 확인되지 않았으나 해커의 비정상 접근 흔적이 발견돼 개인정보 침해 가능성이 제기됐다. 다크웹에 즉각적으로 데이터가 공개되지는 않았지만 공격자가 협상 압박 수단으로 데이터를 보관했을 가능성이 제기됐다.
DarkBERT, 다크웹 해독의 무기
이러한 국내 사례는 다크웹이 위협의 핵심 무대임을 보여준다. 정보가 다크웹에 직접 판매되거나 기존 데이터가 재활용되고 랜섬웨어 조직이 다크웹을 통해 압박 수단을 강화하는 구조가 반복되고 있다. 이에 S2W는 과학기술정보통신부 산하 정보통신기획평가원(IITP)의 지원하에 2022년 4월부터 시작된 ‘다크웹 은닉서비스 식별 및 근원지 추적기술 개발’ 국책과제로 다크버트(DarkBERT)를 개발했다. 다크버트는 2023년 글로벌 최고 권위의 자연어처리(NLP) 학회인 ‘전산언어학학회(ACL)’에 등재되며 처음으로 공개된 세계 최초의 다크웹 도메인 특화 언어모델로, 약 4억 페이지의 다크웹 데이터를 학습해 범죄 은어와 맥락을 정밀하게 이해할 수 있도록 설계됐다.
다크버트는 다크웹 포럼이나 마켓플레이스에서 기업과 기관 관련 데이터 거래 정황을 조기에 탐지하고 랜섬웨어 조직의 유출 사이트를 모니터링해, 은어나 암호화된 표현을 해석하고 위협 키워드를 추론하는 등 수사기관과 기업 보안팀이 위협에 대응하는 속도를 높였다.
AI 보안의 양면성 ‘기회’와 ‘한계’
한편, AI 발전에 비례해 활발해지고 있는 AI 사이버 보안 이슈와 관련해 IITP 보고서에서는 AI 보안의 이중성을 지적한다. 공격자는 AI를 통해 자동화와 대중화를 가속화하는 동시에, 방어 측에서는 AI를 활용한 선제 탐지·대응 역량을 높이고 있다. 예컨대 2025년 해커원(HackerOne) 버그바운티 리더보드에서는 AI 침투 테스터 도구 ‘Xbow’가 사상 최초로 1위를 차지하며 AI의 방어적 가능성을 입증했다. 스탠퍼드가 발표한 ‘BountyBench’에서도 AI가 취약점 패치 성공률 90% 이상을 기록해 방어 분야에서 더 효과적으로 활용될 수 있음을 보여줬다.
그러나 한국 기업의 준비 수준은 여전히 부족하다. 시스코의 ‘2025 사이버보안 준비 지수’에 따르면 한국 기업 중 ‘성숙’ 단계에 도달한 곳은 3%에 불과했다. 83%가 지난 1년간 보안 사고를 경험했음에도 내부 직원의 위협 이해도는 30% 수준에 머물고 있으며 섀도 AI 탐지 역량 부족(83%)과 보안 인력 부족(97%) 문제가 복합적으로 작용하고 있다. AI 시대에 보안 사각지대를 줄이기 위해서는 ‘전문 인력 확보’, ‘내부 보안 문화 강화’, ‘섀도 AI 대응 체계 구축’이 시급하다.
기술의 이중성을 기회로 전환해야
작년에 이어 올해까지 수면 위로 떠오른 국내 보안 사례들은 다크웹과 AI가 교차하며 보안 위협의 차원이 새롭게 진입했음을 보여준다. 피해는 실시간으로 다크웹에서 거래되거나 기존 데이터가 재활용되며 확산되고 있다. 동시에 AI 기반 공격은 더욱 정교해지고 자동화되지만, 방어 측 역시 다크버트 같은 다크웹 언어모델과 화이트해커 AI 도구를 통해 대응의 가능성을 넓히고 있다. 결국 과제는 기술의 이중성을 위협이 아닌 기회로 전환하는 것이다. 다크웹과 AI가 만들어내는 새로운 위협 환경 속에서 기업과 정부가 협력해 선제적이고 균형 잡힌 보안 전략을 마련할 때 비로소 지속가능한 디지털 생태계가 구축될 수 있을 것이다.
헬로티 구서경 기자 |
