"우리 같은 작은 회사를 누가 노리겠어." 보안 얘기가 나올 때마다 마케팅 미팅에서 거의 자동으로 나오는 말입니다. 그런데 이 전제가 지금 빠르게 무너지고 있습니다. 공격하는 쪽이 사람에서 AI로 바뀌고 있기 때문인데요. 무엇이 달라졌는지, 왜 IT가 아니라 마케터의 문제인지, 그리고 오늘 당장 뭘 하면 되는지 다섯 개의 질문으로 풀어 보겠습니다.
AI가 해킹을 한다는 게 무슨 뜻인가요?
AI가 보안 취약점을 스스로 찾아내는 수준에 올라왔다는 뜻입니다. 불과 1~2년 전만 해도 AI가 실제로 악용 가능한 취약점을 찾아내는 성공률은 한 자릿수에 불과했는데, 최근 모델들은 같은 과제에서 90%를 넘기기 시작했습니다. 사람 한 명이 며칠 걸려 찾던 구멍을 AI가 분 단위로 훑어내는 셈입니다. 여기서 핵심은 공격자가 똑똑해졌다는 게 아니라, 공격이 자동화되고 대량화됐다는 점입니다. 공격 비용이 0에 수렴하면 공격자는 가치 높은 표적만 고르지 않고 방어가 허술한 표적 전부를 기계적으로 노립니다. 자동화 도구가 수만 개 사이트를 동시에 긁으며 노출된 로그인 페이지, 낡은 플러그인, 방치된 관리자 계정을 찾아냅니다. 규모가 작아서 안전하던 시대가 끝나가는 겁니다.
이게 왜 IT가 아니라 마케터의 문제인가요?
마케팅팀이야말로 회사에서 가장 민감한 정보를 매일 다루기 때문입니다. 고객 명단, 캠페인 성과, 미공개 가격표, 계약 조건. 그리고 이걸 별생각 없이 외부 AI 챗봇 프롬프트에 그대로 붙여넣습니다. 학습에 쓰지 않는 옵션이 있는데도 아무도 설정을 확인하지 않죠. 실제로 한 B2B 기업의 데이터 흐름을 점검하다 마케팅팀 전원이 계약서와 내부 전환율 데이터를 외부 챗봇에 넣고 있는 걸 발견한 적이 있습니다. 편의가 곧 노출이 되는 구조였습니다. 저희 자신의 실수도 있었는데, 캠페인 랜딩 페이지를 급히 띄우며 관리자 계정에 2단계 인증을 두 달간 안 걸어둔 적이 있습니다. 침해는 없었지만 로그를 보니 자동화된 로그인 시도가 한 달에 수백 건씩 들어오고 있었고, 정리하고 인증을 강화하자 의심 시도 알림이 약 80% 줄었습니다. 거창한 솔루션이 아니라 기본기의 문제였습니다.
숫자로 보면 얼마나 심각한가요?
막연한 불안 대신 숫자를 보면 우선순위가 분명해집니다. 한 글로벌 컨설팅사의 2025년 조사에서 조직의 약 77%가 데이터·AI 보안의 기본기조차 갖추지 못한 상태였습니다. 또 다른 보고서에서는 보안 책임자의 약 93%가 매일 AI 기반 공격을 마주할 것이라고 내다봤고, 비즈니스·사이버 리더의 약 50%가 적대적 AI 역량을 가장 큰 우려로 꼽았습니다. 위험은 먼 미래가 아니라 이미 일상의 빈도로 들어와 있다는 신호입니다. 정책도 빠르게 움직입니다. 한국은 2026년 AI 기본법 체계를 정비하며 생성형 AI의 투명성·안전성 의무를 구체화하고 있고, 개인정보보호법상 고객 데이터를 외부 AI에 넘기는 행위 자체가 법적 검토 대상이 될 수 있습니다. 보안은 이제 착하게 보이는 일이 아니라 안 하면 제재받는 일에 가까워지고 있습니다.
딥페이크 사칭은 어떻게 막나요?
AI는 이제 임원의 목소리와 얼굴을 설득력 있게 복제합니다. 임원을 사칭한 영상으로 송금을 유도하거나 브랜드를 흉내 낸 가짜 계정으로 고객을 낚는 시도가 늘고 있죠. 흥미로운 건 이 방어선이 마케팅의 본령과 정확히 겹친다는 점입니다. 평소에 진짜 채널이 명확하면 가짜를 구별하기 쉽기 때문입니다. 공식 도메인, 인증된 계정, 일관된 톤, 직접 소유한 뉴스레터와 커뮤니티 같은 자산은 사칭에 강하고 알고리즘 변화에도 덜 흔들립니다. 결국 AI 시대의 보안과 브랜드 전략은 한 몸입니다. AI가 우리를 정확히 인용하게 만드는 일이 가시성의 문제라면, 가짜 정보로부터 우리를 지키는 일은 신뢰의 문제이고, 둘 다 AI가 우리 브랜드를 어떻게 다루는가라는 같은 질문에서 출발합니다.
그래서 내일 아침에 당장 뭘 하면 되나요?
비용 없이 시작할 수 있는 한 가지를 꼽자면, 지금 팀이 쓰는 AI·SaaS 도구를 전부 목록화하고 각 도구가 어떤 데이터에 접근하는지 적는 것입니다. 그다음 데이터 학습 옵트아웃과 2단계 인증부터 켜고, 고객 데이터 입력 가이드를 문서화해 팀에 공유하고, 더 이상 쓰지 않는 계정과 페이지를 정리하면 됩니다. 여기까지는 도구나 예산 없이도 대부분 당일에 시작할 수 있고, 노출 표면을 가장 빠르게 줄이는 조치입니다. 물론 기본기만으로 모든 위협을 막을 수는 없습니다. 조직이 커지고 다루는 데이터가 민감해질수록 외부 전문가의 정기 감사는 선택이 아니라 비용 항목으로 잡아야 합니다. 다만 대부분의 브랜드는 아직 기본기 구간에 있고, 투자 대비 효과가 가장 큰 곳도 바로 그 구간입니다. 당신의 팀은 지금 어떤 데이터를, 어떤 도구에, 어떤 설정으로 넣고 있나요.