부킹닷컴 “여행자 감정까지 자극하는 교묘한 해킹 시도 차단해 보안 강화”
[싱가포르=IT동아 김동진 기자] AI 발전으로 사이버 보안을 위협하는 해커들의 수단도 더욱 다양하고 교묘해진다. AI로 여행자의 예약에 문제가 발생했다는 메시지와 악성 링크를 다수에게 뿌려 정보 탈취를 시도하는 식이다. 글로벌 여행플랫폼 부킹닷컴은 이같은 해커들의 위협에 어떻게 대응하고 있을까. 싱가포르 현지에서 IT동아를 만난 마니 윌킹(Marnie Wilking) 부킹닷컴 최고 정보 보안 책임자(CISO, Chief Information Security Officer)에게 답을 들었다.
부킹닷컴은 7월 24일부터 25일까지 싱가포르에서 ‘APAC 트러스트 서밋(Trust Summit)’을 개최한다. 이번 행사에서 부킹닷컴은 자사 첫 글로벌 AI 리서치인 ‘글로벌 AI 인식 보고서(Global AI Sentiment Report)’ 결과를 공개했다. 전 세계 33개 시장, 3만7000명에 달하는 소비자를 대상으로 리서치를 진행한 보고서에 따르면, 각 여행자는 AI로 여행 경험 혁신을 원하면서도 AI 에 대한 두려움을 지니고 있었다. 이에 부킹닷컴은 AI 도입을 적극 추진하는 동시에 보안을 강화해 여행자와 업계 신뢰를 제고하겠다고 밝혔다.
마니 윌킹 CISO는 “AI 시대에는 막대한 양의 데이터가 다양한 곳에서 오고 간다. 이때 외부에 불필요하게 많은 정보를 노출하지 않으면서 서비스에 필요한 정보만 선별하는 능력이 AI 시대 보안을 지키는 핵심”이라며 “불필요한 정보까지 저장하고 노출하는 과정에서 보안 취약점이 발생한다. 여행 서비스를 제공하는 데 필요한 정보만 선별하는 부킹닷컴의 능력은 보안 강화의 배경”이라고 말했다.
그는 이어 “AI를 활용한 피싱은 평소라면 절대 혹하지 않을 감정적인 부분을 건드리므로 위협적이다. 예컨대 자녀가 디즈니랜드 방문을 원해 관련 검색을 했는데 갑자기 저렴한 디즈니랜드 여행 상품을 제시하며 링크 클릭을 유도하는 식이다. 해커가 비즈니스 제안을 하며 화상회의를 요청해 들어가 보면 특정 기업의 CEO 얼굴이 딥페이크로 나오는 사례도 전해진다. 실제로 개인과 회사 정보가 유출되는 주요 경로는 이같은 감정 해킹”이라며 “부적절한 링크나 첨부파일을 계속 차단하지만 해커들은 AI로 끊임 없이 재생산하며 피싱을 시도한다. 결국 AI를 통해 대규모로 양산되는 해킹 시도는 AI로 차단해야 한다. 부킹닷컴의 경우 여행 상품과 관련된 다양한 정보를 대규모 언어모델(LLM)을 활용해 먼저 필터링한다. 이후 안전한 링크와 첨부파일인지 사람이 직접 정보의 진위 여부를 확인하는 더블 체크 방식으로 위협을 차단한다. 해커들이 어떤 디바이스로 언제, 어디서 해킹을 시도하는지도 지속해서 모니터링하며 대응한다”고 말했다. 머니 윌킹 CISO는 여행 플랫폼을 이용하는 소비자와 업계에 보안을 지키는 팁을 남겼다.
그는 “소비자가 먼저 여행 상품을 보고 연락하지 않으면 해커는 상대가 어떤 언어를 사용하는지 알 수 없다. 따라서 여행 상품을 엉뚱한 언어로 제안한다면 주의가 필요하다. 부킹닷컴 차원에서도 이같은 피싱 시도를 모니터링하고 차단 중”이라며 “개인적으로 손해가 발생하지 않아도 부적절한 정보는 적극 신고해야 한다. 출발일이 얼마 남지 않은 여행 상품을 싸게 제공하겠다는 제안이 왔을 때는 호텔이 실제로 존재하는 곳인지 찾아보고 호텔이나 여행 기업에 상품의 진위 여부를 직접 문의하기를 권장한다”고 말했다.
이어 “여행 상품을 제공하는 기업의 경우 AI가 불필요하게 많은 정보를 제공하지 않도록 트레이닝하는 등 정보 선별 능력을 강화해야 한다. 정보 유출을 막기 위한 내부 통제와 교육도 필요하다. 정확한 사람에게 정확한 정보를 주는 것에 집중해야 한다. 해킹이 일어나기 전에 차단하는 것이 최선이지만 불가피하게 해킹이 발생했다면 최대한 빠르게 문제를 해결할 대응 방침도 마련해야 한다”며 “아직은 AI를 완전히 믿을 수 없으므로 필터링된 정보를 사람이 한 번 더 확인하는 단계별 절차가 필요하다. 부킹닷컴도 소비자의 접속 디바이스나 지역 등이 평소와 다를 때는 지속해서 단계별 보안 절차를 요구해 대응한다. 이같은 절차가 번거롭다는 피드백도 있지만 안전한 서비스 제공을 위한 방안이니 양해 바란다”고 전했다.
생성 AI 기반 챗봇 ‘AI 트립 플래너’ 베타 출시…이르면 올해 말 또는 내년 초 한국 서비스
부킹닷컴은 보안 강화와 더불어 생성 AI를 여행플랫폼에 접목, 여행 경험 혁신을 활발히 추진 중이다. 일례로 이 기업은 생성 AI 기반 챗봇 서비스 ‘AI 트립 플래너(Trip Planner)’를 미국과 싱가폴 등 일부 국가에 베타 출시해 테스트 중이다. 한국에는 올해 말이나 내년 초쯤 업데이트될 예정이다.
부킹닷컴은 ‘AI 트립 플래너’로 파편화된 여행 준비와 진행을 하나의 대화창에서 빠르게 해결하도록 돕고자 한다. 숙박과 항공편, 현지 이동 수단, 통신, 식당 정보 및 예약 방법을 비롯해 돌발상황에 대비해 현지에서 가까운 병원과 필요한 서류 등을 안내하는 방식이다. 사람이 많이 붐비는 곳이 아닌 한적한 여행지나 웨이팅이 긴 식당에 대한 대안을 제시하기도 한다. 설정한 가격에 맞춰 유명한 음식점을 추천하기도 한다.
마니 윌킹 CISO는 “생성 AI가 적용된 여행 플랫폼은 대화 맥락을 이해하고 다양한 요구에 따라 각종 정보를 제공할 정도로 높은 수준을 보인다. 그만큼 해커들이 다양한 시도로 정보 탈취를 시도할 가능성도 높아진 상황이다. 많은 이들이 여행 플랫폼에 AI를 접목해 혁신을 원하면서도 AI 서비스 신뢰에 대한 우려를 제기하는 이유”라며 “이에 부킹닷컴은 AI 트립 플래너 자체에 빌트인한 AI 기능으로 이상 징후를 모니터링하고 대응한다. 사람이 같이 정보의 진위를 확인하기도 한다. 이처럼 부킹닷컴은 기술 도입과 보안 강화를 동시에 추진해 여행자 및 업계와의 신뢰를 강화하고 있다”고 말했다.
싱가포르=IT동아 김동진 기자 (kdj@itdonga.com)
