위기의 K-보안, 생태계 안 바뀌면 AI 강국은 없다

인공지능(AI) 대전환의 흐름 속에서 한국의 보안 체계가 근본적으로 다시 설계되어야 한다는 목소리가 커지고 있다. 올해 연이어 발생한 대규모 보안 사고는 한국의 보안 체계가 현재의 수준으로는 더 이상 안전하게 유지될 수 없음을 여실히 보여줬다.

4일 서울 페럼타워에서 열린 ‘2025 사이버보안 정책 포럼 워크숍’에서 이상직 인터넷법제포럼 회장은 “지금의 한국의 보안 체계는 AI 대전환 시대의 속도와 위협 양상을 담아내기엔 턱없이 낡았다”고 진단하며 “한국 디지털 생태계를 떠받치는 보안 체질 자체를 새롭게 만들어야 한다”고 강조했다.

이날 행사에 참여한 박영호 한국정보보호학회 회장, 이기주 한국CISO협의회 회장, 조영철 한국정보보호산업협회 회장, 윤인수 KAIST 교수를 비롯한 각 분야 보안 리더들은 공통적으로 “한국이 AI 시대의 경쟁력을 확보하려면 보안 생태계 전환이 시급하다”는 데 의견을 모았다.

AI가 만든 새로운 공격 패러다임 “보안에 대한 인식부터 바뀌어야”

이상직 회장은 올해 잇따라 발생한 대형 해킹 사고들을 “단일 기업의 문제가 아니라 국가적 인프라를 흔드는 구조적 충격”이라고 규정했다. 그는 “공격자는 특정 기업 하나만 겨냥하지 않는다. 공급망을 타고 연계된 조직·고객까지 한 번에 무너뜨리는 방식으로 진화하고 있다”며, “중소기업만 당하는 시대는 지났다. 이제는 대기업도 심지어 자체 보안조직을 갖춘 기업조차 뚫리고 있다”고 우려했다.

이 같은 위협 구조는 단순히 침투 기술이 정교해진 문제를 넘어 공격의 방식 등 패러디임이 바뀌었다는 사실을 보여준다. AI는 공격자에게는 ‘비용을 낮추고 성공률을 높이는 도구’가 되고, 방어하는 기업에게는 ‘새로운 비인가 경로와 오판 가능성을 낳는 취약점’으로 작용한다. AI 모델을 속여 판단을 왜곡시키는 공격, 데이터 오염 후 시스템 전체를 흔드는 방식 등 과거 위협 분류표에 없던 공격이 일상적으로 나타나는 것이 그 증거다.

이기주 회장도 같은 현실을 지적하며 “20년 전보다 지금의 보안 환경은 더 나빠졌다고 본다”고 평가했다. 그는 “수십년간 기업이 보안에 투자하고 제도가 만들어졌지만 올해 사고들을 보면 ‘우리가 정말 준비돼 있었나?’라는 의문이 든다”며, 지금의 대응 방식은 보안 생태계의 근본적 전환이 필요하다는 점을 강조했다.

이상직 회장은 “AI와 보안은 한 몸이며, 둘을 결합하지 않으면 AI 시대의 어떤 미래도 열리지 않는다”고 말했다. 정말 AI가 국가 경쟁력의 동력이 되려면, 그 기반을 떠받치는 보안 체질부터 먼저 바뀌어야 한다는 것이다.

이상직 인터넷법제포럼 회장(변호사)가 4일 열린 사이버보안 정책 포럼 워크숍에서 발표하고 있다. (사진=바이라인네트워크)

‘보안 인식 개선’과 ‘산업 생태계 강화’ 시급

이상직 회장이 말하는 ‘성숙한 보안 생태계’는 단순히 기술이나 제도가 잘 갖춰진 상태를 의미하지 않는다. 그는 사회 구성원 모두가 보안을 자신의 문제로 인식하고, 일상에서 체화된 습관처럼 관리하는 문화를 핵심으로 본다. 여기에 더해 기업·기관·이용자가 보유한 정보와 경험을 서로 나누며, 때로는 민감한 위협 정보까지도 경쟁이 아닌 공동의 안전을 위해 공유하는 네트워크, 그것이 그가 말하는 성숙한 보안 생태계다.

그는 “각자도생으로는 AI 시대의 공격 속도를 따라잡을 수 없다”며, 한 조직이 발견한 이상 징후가 다른 조직의 예방으로 이어지고, 공급망 전체가 하나의 시스템처럼 움직이는 구조가 되어야만 한국이 AI 시대의 보안 리스크를 감당할 수 있다고 설명했다. 다시 말해 성숙한 보안 생태계란 개별 조직의 방어력을 높이는 수준을 넘어, 사회 전체가 연결돼 서로의 약점을 보완하고 위협을 공동 대응하는 집단적 안정성의 체계라는 것이다.

보안 산업 성장의 한계를 짚은 지적도 나왔다. 국내 기업은 여전히 외산 솔루션에 의존하고 보안 투자는 사고 이후 규제 대응 수준에 머물며, 인수합병(M&A)을 통해 기술·인재·시장 기반이 확장되는 구조도 없다. 산업 구조가 확장과 축적을 이루어내지 못하고 있다는 설명이다.

이에 대해 조영철 회장은 “내수시장이 지금의 두 배로 커질 수 있는 정책적 환경이 필요하다”며 “보안 기술 고도화와 함께 기업 간 M&A가 활발해져야 산업 구조가 체질적으로 강화된다”고 강조했다. 이어 “AI 3대 강국 논의 속에서 보안 투자는 여전히 뒤축에 머물러 있어 개선이 시급하다”고 덧붙였다.

사고 신고·조사 중심 규제 넘어서야피해 구제 강화도 필요

현재 국회에서 논의 중인 보안 관련 법안들은 침해사고 24시간 내 신고 의무, 위반 시 제재 강화, 의심 정황 단계의 자료 제출 명령, 민·관 합동조사단의 출입·조사 권한 확대, 이행강제금 신설 등 개별 기업의 대응 속도와 책임을 강화하는 조치들을 핵심으로 담고 있다. 그러나 이상직 회장은 이러한 규제 강화가 “필요는 하지만 충분하지는 않다”고 짚었다.

기업 한 곳을 더 세게 규제한다고 해서 국가 전체의 보안 생태계가 좋아지지 않으며, 오히려 공급망 전체가 함께 움직이지 않으면 구조적 취약성은 그대로 남는다는 것이다. 그는 “피해 기업만 규제해선 해결되지 않는다. 그 기업이 속한 산업·시장·공급망 전체가 함께 움직여야 한다”고 강조하며, “법·제도는 단일 기업을 압박하는 방향이 아니라 생태계 단위의 협력 구조를 촉진하는 방향으로 설계되어야 한다”고 설명했다. 이를 위해 조기 징후 공유 체계, 내부고발 인센티브, 기업 간 비밀 협의제도 등 공동 대응을 유도하는 장치가 법률에 포함돼야 한다는 제언도 덧붙였다.

또한 이 회장은 법제도의 또 다른 핵심 축으로 ‘정보 이용자의 역할 전환’을 꼽았다. 그는 현재 법안들이 개인정보 유출 피해 발생 이후의 통지·배상에 초점을 맞추고 있어 이용자를 항상 수동적 보호 대상으로만 취급한다고 지적했다.

AI 시대의 보안은 기업과 정부뿐 아니라 이용자도 직접 참여하는 구조가 필수적이기 때문에, 이용자가 자신의 정보 이용 내역을 능동적으로 열람·정정·삭제할 수 있는 권리와 절차적 장치가 법적으로 보장돼야 한다는 것이다. 단순 고지 수준의 통지나 화면 안내가 아닌, 정보의 흐름을 스스로 감시하고 이상 징후를 기업에 요구·확인할 수 있는 권리가 필요하다고 강조했다.

그는 이러한 구조를 ‘사이버 보안 기본 사회’라는 개념으로 설명했다. 로그인 관리, 2단계 인증, 생체 본인확인 같은 보안 절차는 불편을 감수해야 하는 번거로운 일이 아니라, 디지털 사회의 기본 생활 기술이자 시민적 책무에 가깝다는 것이다. 즉, AI 시대의 보안은 기업·정부·이용자가 각자 움직이는 삼각 구조가 아니라 모두가 역할을 수행하는 공동 책임 체계로 전환되어야만 작동한다는 의미다.

AI 시대의 보안 인재상…수학·논리 등 기본기가 중요

AI 시대에는 능력있는 양질의 사이버보안 인재를 양성해야 한다는 논의도 이어졌다. 윤인수 카이스트(KAIST) 전기 및 전자공학부 교수는 AI 사대의 보안 인재 양성 문제를 거론하며 “AI 기술은 보안 생태계 전체를 바꾸는 핵심 축”이라고 강조했다.

그는 AI가 공격 비용을 비약적으로 낮추고 있는 현실을 설명하며 “앞으로의 공격은 지금보다 훨씬 다양하고 광범위해질 것”이라고 전망했다. 공격 표면은 넓어지고, 공격 속도는 빨라지고, 공격 방식은 예측 불가능해진다. 이런 시대에 필요한 인재는 단순히 “AI를 활용할 줄 아는 사람”이 아니라고 그는 강조했다.

윤인수 카이스트 전기 및 전자공학부 교수가 4일 열린 사이버보안 정책 포럼 워크숍에서 발표하고 있다. (사진=바이라인네트워크)

윤 교수는 최근 교육 현장에서 기초 수학·논리 교육이 약화되고 있는 문제를 가장 먼저 지적했다. 그는 “AI 교육을 강화한다면서 기존의 기초 교육을 대체하는 방식을 자주 본다”며 “수학과 논리 기반이 약한 상태에서 AI 도구만 얹으면 위험이 더 커진다”고 우려했다. AI는 빠르게 답을 만들어내지만, 그 답이 옳은지 판단할 능력이 부재하면 오히려 보안 리스크가 증폭된다는 것이다.

이어 그는 기초 역량이 부족한 상태에서 AI 도구를 사용하는 행위는 “운전자 없이 자율주행차에 타는 것과 다르지 않다”고 비유했다. AI를 활용할 줄 아는 능력보다, AI가 만들어낸 결과를 검증할 수 있는 능력이 더 중요하다는 설명이다.

아울러 “AI가 만들어내는 코드, 문장, 판단 오류를 사람이 걸러내지 못하면 공격까지 자동화된다”며 “AI는 인간의 역량을 대체하는 도구가 아니라, 인간의 판단력이 더 강하게 요구되는 도구”라고 강조했다.

윤 교수는 “앞으로는 한 사람이 AI를 활용해 10명, 100명의 일을 수행하는 시대가 된다”며 “AI 보안 인재의 질이 산업의 성패까지 가르게 될 것”이라고 전망했다.

추가로 윤 교수는 보안 분야를 포함해 모든 전공의 교육 방식도 AI 시대에 맞춰 바뀌어야 한다고 조언했다. 그는 “시험·평가를 원격이 아니라 교실이나 강의실 안으로 복귀시키고, 단순 코딩 과제가 아니라 실제 문제 해결형 프로젝트 중심으로 전환하며, AI 사용을 금지하는 것이 아니라 ‘AI 활용을 전제로 한 기초 역량 평가’를 전적으로 시행해야 한다”고 말했다.

이날 논의는 결국 하나의 결론으로 집약된다. AI가 미래의 성장 엔진이라면, 그 엔진을 지탱하는 보안 생태계가 먼저 단단해져야 한국의 디지털 경쟁력도 비로소 완성된다는 것이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.