2025년은 그 어느 때보다도 강력하고 지능적인 사이버 위협에 직면한 한 해였습니다. 딥페이크 음성 사기, AI로 생성된 피싱 공격, 고도화된 해킹 수법 등 금융 시스템을 직접 겨냥한 공격이 갈수록 지능화, 고도화되면서 금융사들은 보안 패러다임을 근본적으로 재편하고 있습니다. 금융 당국 역시 분산형 네트워크와 실시간 위협 분석 체계를 바탕으로 국가 차원의 사이버 보안 아키텍처 재설계에 착수하며 대응을 강화하고 있습니다.

갈수록 진화하는 AI 해킹 유형

2025년 한 해 금융권은 AI 기술을 무기화한 사이버 범죄 집단의 집중 공세를 받았습니다. 대표적으로 딥페이크(Deepfake) 기술을 활용한 음성 사기가 크게 기승을 부렸는데, 사이버 보안 기업 서프샤크(Surfshark)에 따르면, 2025년 상반기 딥페이크 기반 사기로 인한 피해액은 총 4억 1천만 달러 집계되었는데 이는 2024년 전체 피해액인 3억 5백만 달러보다 급증한 수치입니다. 또한 이메일이나 문자 피싱(phishing) 공격이 AI로 자동 생성되면서 그 규모가 크게 확대되었습니다. 과거에는 어색한 문장이나 맞춤법으로 피싱 메시지를 구분할 수 있었지만, 이제 생성형 AI가 인간처럼 자연스러운 한국어로 수만 통의 사기를 손쉽게 만들어내고 있습니다.

게다가 해킹 수법의 고도화도 두드러졌습니다. 공격자들은 AI를 활용해 기업 시스템의 취약점을 자동으로 찾아내거나, 악성 코드를 작성·변종시키는 등 지능형 해킹을 수행하고 있습니다. 심지어 다크웹에는 해커 전용으로 특화된 AI 챗봇인 ‘웜GPT’와 ‘플로드GPT’까지 등장하여, 초보 해커라도 고도화된 피싱 이메일이나 악성코드를 쉽게 만들어낼 수 있습니다. 이처럼 AI 해킹의 범람으로 금융권은 그 어느 때보다 다양한 경로의 동시다발적 공격에 노출되었고, 기존의 평범한 보안 대비로는 감당하기 어려운 상황이 전개되었습니다.

금융기관들의 대응: 전면적인 보안 체계 재정비

이러한 신종 위협 속에서 국내외 금융기관들은 잇따라 보안 체계를 전면 강화하고 나섰습니다. 먼저, 랜섬웨어나 데이터 파괴형 공격에 대비해 정기적인 백업 및 복구훈련을 의무화하여 사고 발생시 신속한 업무 복구 능력을 키우고자 했습니다. 과거에는 연 1~2회 점검에 그치던 재해복구 모의훈련을 이제는 상시화하고, 시나리오를 예고하지 않는 불시 모의해킹 훈련도 실시하는 등 실전 대응력을 높이고 있습니다. 또한 고객 계정 탈취 시도를 막기 위해 다중 인증(MFA) 수단을 대폭 강화했습니다. 로그인 시 일회용 비밀번호(OTP), 지문·안면인식 같은 생체인증을 추가로 요구하고, 이상행위 탐지 시 추가 인증을 거치도록 하는 식입니다. 더 이상 ID/비밀번호 하나만으로는 어떤 내부 시스템에도 접근할 수 없도록 통제하고 있습니다. 금융회사 내부적으로도 보안 거버넌스를 재편하여, 모든 부서가 사이버 보안을 우선 고려하도록 문화와 절차를 바꾸어 나갔습니다.

“제로트러스트”의 확산

2025년 금융보안 분야의 키워드를 하나만 꼽으라면 단연 제로트러스트(Zero Trust)입니다. 금융권에서는 제로트러스트 아키텍처를 빠르게 도입해 사실상 새로운 표준으로 삼았는데, 실제 조사에 따르면 현재 전 세계 조직의 61%가 명확히 정의된 제로트러스트 보안 계획을 보유하고 있을 정도로 보편화되고 있습니다. 금융회사들도 예외가 아니어서, 최근 10여 년간 의무화되어왔던 망분리 규제를 완화하는 대신 제로트러스트 모델로의 전환을 촉진하고 있습니다.

2026년 전망

다가오는 2026년에도 AI가 주도하는 위협의 기세는 더욱 가시화될 전망입니다. 특히 가장 큰 경계 대상으로 지목되는 것은 딥페이크 기반의 사기와 그 밖의 정교한 사회공학적 공격들입니다. 또한 AI를 악용한 사기 수법이 다양해지면서, 다단계로 교묘하게 설계된 종합 사기가 증가할 것으로 예상됩니다. 피싱 이메일+가짜 콜센터+딥페이크 음성 통화를 연계하는 식으로 멀티채널 공격을 전개하면, 개별 보안 솔루션만으로는 탐지하기 훨씬 까다로운 상황이 전개될 것입니다.

이미 일부 보안기업들은 딥페이크 탐지 솔루션이나 AI 이상거래 탐지 시스템 등을 선보이고 있으며, 2026년에는 더 많은 AI 보안 솔루션이 금융 현장에 도입될 것으로 기대됩니다. 또한 금융회사 내부적으로 AI 코딩 도구 사용에 따른 보안 가이드라인을 마련하고, 개발 단계부터 AI 위험관리 체계를 적용하는 등 Secure AI(안전한 AI 활용) 문화가 자리잡을 것으로 보입니다. 정부 규제 측면에서도, AI를 활용한 금융상품이나 서비스에 대해 최소한의 안전장치 의무화와 사전 검증제도 도입이 논의될 가능성이 있습니다. 이는 AI 모델이 편향되지 않고 악용될 소지가 없도록 투명성 및 책임성을 높이려는 흐름으로, 2026년에 관련 가이드라인이 모습을 드러낼 수 있습니다.

사이버 공격은 이제 한 기관만의 문제가 아니며, 서로 연결된 생태계 전체의 문제입니다. 한 은행이 당한 공격 수법은 곧 다른 보험사나 증권사에 반복될 수 있기 때문에, 업계가 위협 정보를 투명하게 공유하고 공동 대응하는 체계를 갖춰야만 합니다., 2026년 금융 보안의 성패는 기술이 아니라 전략과 협력, 그리고 끊임없는 경계심에 달려 있습니다. 눈부신 AI 시대에 걸맞은 눈부신 보안 면역체계를 구축한 금융사만이 고객의 신뢰를 얻고 지속적인 성장을 담보할 수 있을 것입니다. 금융보안의 새로운 표준이 된 제로트러스트 정신을 바탕으로, 모두가 한 발 앞서 위협을 읽고 대비하는 2026년이 되길 기대합니다.

글: 투이컨설팅 디지털 연구소