리투인 보안센터 · 기술블로그

인공지능 이메일 보안 솔루션

인공지능에게 채팅으로 지시하세요. 자체 개발 SLM(특정언어모델)을 탑재하여 채팅하듯 자연스러운 대화로 관리자의 의도대로 메일을 찾아 대응합니다.

MAIL PRISM AI 자세히 보기

보안에 계속 투자하는데 왜 사고는 멈추지 않을까

보안은 강해지는데, 사고는 사라지지 않는다

보안은 강해지는데 사고는 사라지지 않는다

기관과 기업은 안전한 정보 환경을 위해 끊임없이 투자합니다. 방화벽을 세우고, 침입 탐지 시스템을 도입하고, 악성코드 대응 체계를 강화합니다. 매년 새로운 보안 솔루션이 등장하고 막대한 예산이 투입됩니다.

그런데도 개인정보 유출, 기업 기밀 유출, 랜섬웨어 감염 같은 사고는 여전히 반복됩니다. 많은 조직이 "투자한 만큼의 효과를 체감하지 못한다"고 말합니다.

왜 그럴까요? 답을 찾으려면 보안 모델이 어떻게 변해왔는지, 그리고 사고의 근본 원인이 무엇인지를 함께 들여다봐야 합니다.


경계 기반 보안에서 제로트러스트로

경계 기반 보안에서 제로 트러스트 보안으로

전통적인 보안 모델은 '외부'와 '내부'를 나눕니다. 방화벽, VPN, 망분리로 외부 접근을 차단하고 내부는 상대적으로 신뢰하는 구조입니다.

문제는 한 번 인증을 통과한 사용자가 내부 시스템에 비교적 자유롭게 접근할 수 있다는 점입니다. 만약 공격자가 정상 사용자의 인증 정보를 손에 넣는다면, 보호막을 통과한 뒤부터는 내부를 향한 추가 공격이 훨씬 쉬워집니다.

이 한계를 보완하기 위해 등장한 것이 제로트러스트(Zero Trust) 입니다. "신뢰하지 말고 검증하라(Never Trust, Always Verify)"라는 철학을 기반으로, 정상 사용자라 하더라도 리소스에 접근할 때마다 인증과 검증을 수행합니다. 같은 내부 네트워크라도 시스템마다 접근 권한과 인증 방식을 다르게 설계할 수 있어, 계정 하나가 탈취되어도 모든 시스템에 닿기는 훨씬 어려워집니다.

집 대문에 자물쇠를 다는 데 그치지 않고, 각 방마다 별도의 잠금장치를 두는 개념에 가깝습니다.


제로트러스트 '이후', 정책은 어디까지 왔나

제로트러스트 '이후', 정책은 어디까지 왔나

제로트러스트는 더 이상 개념에 머물지 않고 정책으로 확산되고 있습니다. 큰 흐름은 "경계 기반 → 데이터 중심·검증 기반"이라는 방향성이 공공과 산업 영역으로 번지는 동시에, AI·양자·공급망이라는 새로운 위협축이 부상하는 형태입니다.

공공의 제로트러스트, 국가망보안체계(N²SF)

국정원은 '국가망보안체계(N²SF) 보안 가이드라인 1.0'을 공식 발표하며, 오랜 기간 유지돼 온 획일적 망분리 정책을 실질적으로 대체할 새 패러다임을 제시했습니다. 핵심은 업무와 데이터의 중요도에 따라 시스템을 기밀(C)·민감(S)·공개(O) 등급으로 식별하고, 등급별로 차등화된 보안 통제를 적용하는 것입니다. 제로트러스트 가이드라인이 민간 자율 도입을 권고하는 성격이라면, N²SF는 공공·국가망에 적용된다는 점에서 서로 짝을 이룹니다.

산업 현장으로 넓어진 적용 범위, OT 제로트러스트

KISA는 운영기술(OT) 환경의 제로트러스트 적용 안내서를 마련했습니다. 가용성과 실시간성이 중요한 산업 설비 특성을 반영해, IT와 OT 계층을 구분하는 퍼듀(Purdue) 모델을 포괄하는 형태입니다. 발전소·공장 같은 제어 시스템 보안이 별도 트랙으로 자리 잡은 셈입니다.

새로운 위협축 양자, 공급망, 그리고 AI

정책 영역에서는 양자컴퓨터 시대를 대비한 양자내성암호(PQC) 전환이 통신·금융·교통·국방·우주 등으로 추진되고 있습니다. 동시에 오픈소스 의존도가 높아지면서 공급망 보안이 가장 현실적인 위협으로 떠올랐습니다. 인기 라이브러리가 오염되어 이를 사용하던 수많은 조직과 개발 환경이 연쇄적으로 영향을 받는 사고가 대표적입니다.


그런데, 공격자는 처음에 인증 정보를 어떻게 얻을까

보안 모델이 정교해질수록 한 가지 질문이 남습니다. 공격자는 애초에 그 첫 번째 인증 정보를 어떻게 손에 넣는 것일까요?
수많은 사고를 분석해 보면 공통적으로 등장하는 요소가 있습니다. 바로 피싱(Phishing) 입니다.

피싱은 정상적인 기관이나 서비스로 위장해 사용자가 특정 행동을 하도록 유도하는 공격 기법입니다. 너무 익숙한 용어가 되다 보니 오히려 위험성이 과소평가되곤 합니다. 많은 사람이 피싱을 '단순한 사기 메일' 정도로 여기지만, 실제로는 대규모 보안 사고의 출발점이 되는 경우가 매우 많습니다.

"이런 메일에 누가 속아?" 요즘은 이런 말을 못 합니다.

새로운 AI 기반 피싱 이메일

과거에는 피싱 메일을 보고 이렇게 말하는 사람이 많았습니다. "요즘 세상에 이런 메일에 속는 사람이 있나?" 실제로 예전 피싱 메일은 문법이 어색하거나 번역 품질이 떨어지는 경우가 흔했습니다.

하지만 지금은 완전히 다릅니다. 우리는 AI가 콘텐츠를 만들어내는 시대에 살고 있습니다. 생성형 AI는 자연스러운 문장은 물론 이미지와 영상 제작까지 가능하게 만들었습니다.

공격자는 더 이상 외국어를 능숙하게 구사할 필요도 없습니다. AI로 매끄러운 한국어 이메일을 작성하고, 기관이나 기업을 모방한 웹사이트를 만들며, 실제 존재하는 담당자처럼 보이는 인물까지 생성합니다. 딥페이크와 AI 음성 합성, 자동화된 사회공학 공격이 확산되면서, 임직원 사칭이나 협력사 위장 같은 사례도 늘고 있습니다. 과거에 의심의 단서가 되었던 허술한 흔적들이 점점 사라지는 것입니다.


결국 위협은 '사람'을 향한다

보안 담당자는 인증 정보와 중요 시스템을 안전하게 관리하려 애씁니다. 하지만 모든 구성원이 동일한 수준의 보안 의식을 갖고 있을까요? 조직 전체가 항상 안전하게 행동한다고 확신할 수 있을까요?

공격자는 바로 이 지점을 노립니다. 기술보다 사람을 먼저 공격하는 것입니다.

소셜 엔지니어링(Social Engineering) 은 사람의 심리와 신뢰를 이용해 정보를 얻어내는 공격 기법입니다. 공격자는 한 번에 모든 것을 요구하지 않습니다. 업무 관계자인 것처럼 접근해 신뢰를 쌓고, 작은 정보들을 차곡차곡 수집한 뒤, 이를 조합해 최종적으로 인증 정보나 중요 데이터를 확보합니다. 기술적 취약점을 찾지 못하더라도 사람을 통해 우회하는 것입니다.

공격자에게 정말 필요한 것은 보안 장비의 취약점이 아니라, 정상 사용자의 계정 하나일 수 있습니다.

피싱 메일이 강력한 이유

수신함 속 피싱 메일

피싱 메일은 소셜 엔지니어링을 수행하는 가장 효과적인 도구 중 하나입니다. 공격자는 '이메일'이라는 합법적이고 일상적인 통신 수단을 이용하기 때문입니다.

광고 메일처럼 보이기도 하고, 협력 업체 담당자로 위장하기도 하며, 공공기관이나 유명 서비스의 공식 안내문을 모방하기도 합니다. 더 위험한 경우에는 정상적인 대화를 여러 차례 주고받으며 신뢰를 형성한 뒤, 그제야 악성 링크나 문서를 전달합니다. 이런 공격은 단순한 기술적 탐지만으로는 완벽히 막기 어렵습니다.

그리고 한 가지 더. 보안 사고는 대부분 결과가 발생한 뒤에야 발견됩니다. 공격자는 충분한 정보를 모으고, 보안 체계를 분석하고, 성공 가능성이 높아질 때까지 기다립니다. 따라서 "오랫동안 아무 일도 없었으니 안전하다"는 판단은 위험합니다. 보이지 않는 곳에서 공격 준비가 진행되고 있을 수 있기 때문입니다.


이제는 '균형 있는' 보안 투자가 필요하다

이제는 균형 잡힌 보안 투자가 필요합니다

많은 조직이 악성코드 대응과 시스템 보안에 상당한 비용을 투자합니다. 이는 분명 필요한 투자입니다. 하지만 공격자가 사람을 통해 인증 정보를 획득한다면 어떨까요? 아무리 강력한 시스템을 갖춰도, 정상 계정으로 로그인한 사용자를 공격자로 인식하기는 쉽지 않습니다.

결국 보안은 시스템만 보호해서 완성되지 않습니다. 사람을 대상으로 한 위협에도 동일한 수준의 대응이 필요합니다.

이 지점에서 AI 기술은 이메일 보안에 새로운 가능성을 제시합니다. 기존 스팸 차단 시스템이 '스팸 여부' 판단에 집중했다면, AI 기반 이메일 보안은 사용자의 업무 특성을 이해하는 방향으로 발전하고 있습니다. 업무와 관련된 이메일은 정상적으로 전달하고, 업무와 무관하거나 비정상적 특성을 가진 이메일은 별도로 탐지·관리하는 방식입니다.

이를 통해 광고 메일, 비동의 메일, 사칭 메일, 고도화된 피싱 메일처럼 기존 방식으로는 구분하기 어려웠던 영역까지 대응 범위를 넓힐 수 있습니다. 생성형 AI가 공격자의 생산성을 끌어올리고 있는 지금, 이메일 보안 역시 AI를 활용한 더 정교한 대응 체계가 필요합니다.


마치며.

보안 위협은 끊임없이 진화합니다. 경계 기반에서 제로트러스트로, 다시 N²SF와 OT, 양자·공급망·AI로 이어지는 변화도 결국 공격 방식의 변화에 대응하기 위한 과정입니다.

하지만 어떤 보안 모델을 도입하더라도, 공격자는 여전히 사람을 노립니다. 기술을 뚫기 어렵다면 사람을 공격하는 것이 가장 효율적이기 때문입니다.

오늘날의 보안은 단순히 시스템을 보호하는 일이 아닙니다. 사람과 시스템, 그리고 정보가 연결되는 모든 지점을 보호하는 일입니다. 특히 AI로 더욱 정교해진 피싱 공격에 대응하려면, 시스템 보안을 넘어 이메일 보안과 사용자 중심의 보안 전략까지 함께 고려해야 할 시점입니다.