AI 발전으로 사이버 보안을 위협하는 해커들의 수단도 더욱 다양하고 교묘해진다. AI로 여행자의 예약에 문제가 발생했다는 메시지와 악성 링크를 다수에게 뿌려 정보 탈취를 시도하는 식이다. 글로벌 여행플랫폼 부킹닷컴은 이같은 해커들의 위협에 어떻게 대응하고 있을까. 싱가포르 현지에서 IT동아를 만난 마니 윌킹(Marnie Wilking) 부킹닷컴 최고 정보 보안 책임자(CISO, Chief Information Security Officer)에게 답을 들었다.
IT동아와 인터뷰 중인 마니 윌킹 부킹닷컴 최고 정보 보안 책임자 / 출처=IT동아
부킹닷컴이 싱가포르에서 개최한 ‘APAC 트러스트 서밋’ 현장 / 출처=부킹닷컴
그는 이어 “AI를 활용한 피싱은 평소라면 절대 혹하지 않을 감정적인 부분을 건드리므로 위협적이다. 예컨대 자녀가 디즈니랜드 방문을 원해 관련 검색을 했는데 갑자기 저렴한 디즈니랜드 여행 상품을 제시하며 링크 클릭을 유도하는 식이다. 해커가 비즈니스 제안을 하며 화상회의를 요청해 들어가 보면 특정 기업의 CEO 얼굴이 딥페이크로 나오는 사례도 전해진다. 실제로 개인과 회사 정보가 유출되는 주요 경로는 이같은 감정 해킹”이라며 “부적절한 링크나 첨부파일을 계속 차단하지만 해커들은 AI로 끊임 없이 재생산하며 피싱을 시도한다. 결국 AI를 통해 대규모로 양산되는 해킹 시도는 AI로 차단해야 한다. 부킹닷컴의 경우 여행 상품과 관련된 다양한 정보를 대규모 언어모델(LLM)을 활용해 먼저 필터링한다. 이후 안전한 링크와 첨부파일인지 사람이 직접 정보의 진위 여부를 확인하는 더블 체크 방식으로 위협을 차단한다. 해커들이 어떤 디바이스로 언제, 어디서 해킹을 시도하는지도 지속해서 모니터링하며 대응한다”고 말했다. 머니 윌킹 CISO는 여행 플랫폼을 이용하는 소비자와 업계에 보안을 지키는 팁을 남겼다.
그는 “소비자가 먼저 여행 상품을 보고 연락하지 않으면 해커는 상대가 어떤 언어를 사용하는지 알 수 없다. 따라서 여행 상품을 엉뚱한 언어로 제안한다면 주의가 필요하다. 부킹닷컴 차원에서도 이같은 피싱 시도를 모니터링하고 차단 중”이라며 “개인적으로 손해가 발생하지 않아도 부적절한 정보는 적극 신고해야 한다. 출발일이 얼마 남지 않은 여행 상품을 싸게 제공하겠다는 제안이 왔을 때는 호텔이 실제로 존재하는 곳인지 찾아보고 호텔이나 여행 기업에 상품의 진위 여부를 직접 문의하기를 권장한다”고 말했다.
IT동아와 인터뷰 중인 마니 윌킹 부킹닷컴 최고 정보 보안 책임자 / 출처=IT동아
광고 로드중
부킹닷컴은 보안 강화와 더불어 생성 AI를 여행플랫폼에 접목, 여행 경험 혁신을 활발히 추진 중이다. 일례로 이 기업은 생성 AI 기반 챗봇 서비스 ‘AI 트립 플래너(Trip Planner)’를 미국과 싱가폴 등 일부 국가에 베타 출시해 테스트 중이다. 한국에는 올해 말이나 내년 초쯤 업데이트될 예정이다.
부킹닷컴은 ‘AI 트립 플래너’로 파편화된 여행 준비와 진행을 하나의 대화창에서 빠르게 해결하도록 돕고자 한다. 숙박과 항공편, 현지 이동 수단, 통신, 식당 정보 및 예약 방법을 비롯해 돌발상황에 대비해 현지에서 가까운 병원과 필요한 서류 등을 안내하는 방식이다. 사람이 많이 붐비는 곳이 아닌 한적한 여행지나 웨이팅이 긴 식당에 대한 대안을 제시하기도 한다. 설정한 가격에 맞춰 유명한 음식점을 추천하기도 한다.
AI 트립 플래너를 소개하는 마니 윌킹 부킹닷컴 최고 정보 보안 책임자 / 출처=IT동아
AI 트립 플래너를 소개하는 마니 윌킹 부킹닷컴 최고 정보 보안 책임자 / 출처=IT동아
싱가포르=IT동아 김동진 기자 (kdj@itdonga.com)