금융보안원이 금융권 챗봇이 피싱 공격에 이용될 수 있다고 진단했다. 챗봇이란 인공지능(AI) 기반 채팅으로 언제 어디서나 고객과 상담하는 서비스다.
금융보안원은 1일 '국내·외 금융권 챗봇 활용 현황 및 주요 보안 고려사항' 보고서에 따르면 AI 기술을 적용한 챗봇이 개인정보를 유출할 수 있다고 진단했다.
금융사 챗봇은 시나리오형과 AI형으로 구분된다. 시나리오형은 키워드에 따라 정해진 답을 출력하는 방식으로 보안 위험은 크지 않다.
반면에 AI 기술을 적용한 챗봇은 복잡한 질문에도 응답할 수 있고 자기학습도 가능해 송금이나 카드분실, 신고·정지 등에도 활용된다.
보고서는 고객이 입력한 단어에 AI가 의도치 않은 행위를 해 보안에 위협이 되는 행동을 할 수 있으며, 서버와 연결된 챗봇이 해킹당할 수도 있다고 지적했다.
고객이 컴퓨터나 스마트폰에 챗봇을 설치할 때 범죄자들이 잘못된 챗봇 프로그램을 설치하도록 유도하거나 고객이 설치한 챗봇 프로그램으로 각종 파밍이나 피싱 공격을 할 수도 있다.
금융보안원 관계자는 “금융회사는 챗봇에 대한 식별 기능을 제공하고, 챗봇으로 입력되는 중요정보를 사용자 단말기에 저장하지 않거나 불가피한 경우 암호화해야 한다”면서 “챗봇 서버 보안 및 접근제어, 네트워크 보안, 웹서버 보안 등도 챙겨야 한다”고 당부했다.
이어 “아직은 챗봇 기술이 초기 단계이므로 보안요소를 신중히 고려해 금융서비스에 반영해야 하며, 각종 보안 위협을 파악하고 대응 방안도 마련해야 한다”고 덧붙였다.
한편 금융보안원에 따르면 지난 2월 말 기준 챗봇을 도입한 금융회사는 신한은행과 현대카드, 라이나생명, 웰컴저축은행 등 13개 회사로 집계됐다.
함지현기자 goham@etnews.com