KISA, AI 보안 ‘전주기 지원’ 강화
[인터뷰] KISA 오진영 AI보안산업본부장
한국인터넷진흥원(KISA)이 지난 2월 신설한 AI보안산업본부를 중심으로 보안기업의 인공지능(AI) 전환과 상용화 전주기 지원을 강화하고 있다.
27일 바이라인네트워크와 만난 오진영 KISA AI보안산업본부장은 “AI 시대에 보안 산업을 키우기 위해서는 단순 시제품 지원에서 멈추지 않고, 사업화, 마케팅, 투자 유치, 해외 진출까지 전주기 차원에서의 지원이 이뤄져야 한다”며 “KISA가 가진 사업 라인업을 묶어 선순환 체계를 만들어 가겠다”고 강조했다.
“AI 보안을 중심으로”…조직개편부터 시작
오 본부장은 KISA가 AI보안산업본부를 신설한 배경에 대해 “정부가 AI 네이티브 사회를 추진하면서 국가AI전략위원회를 구성하고 관련 법제화가 이어지고 있다”며 “그 흐름에 전문 정책 기관으로서 선제적으로 대응하기 위함”이라고 설명했다.
그는 “보안이 그동안 산업 성장에 발목을 잡는 것처럼 보일 때도 있었지만, 최근에는 국가AI전략위원회에서 보안 특위를 따로 만들 정도로 보안에 대한 관심이 커졌다”며 “정책 지원도 더 전면에서 진행해야 한다고 판단했다”고 말했다. 본부 신설이 단순히 AI라는 라벨을 붙이기 위함이 아니라, 정책 흐름에 맞춰 보안을 AI 시대의 우선순위로 올려 놓겠다는 선언이라는 설명이다.
현재 AI보안산업본부 외 타 본부에서도 20여개 팀이 이름에 AI를 추가했다. 오 본부장은 “기존에 AI를 활용하거나 AI 관련 지원을 하던 부서들이 한꺼번에 개명한 것”이라며 “AI를 그만큼 사업의 중심축으로 가져가고 있다는 의미”라고 설명했다.
AI가 바꾼 보안 환경
오 본부장은 “KISA가 AI 보안을 중요한 ‘산업 과제’로 끌어올린 이유는 기술 유행 뿐 아니라, 현장의 점검 방식이 바뀌고 있기 때문”이라고 설명했다. 그는 “기존의 보안 점검이 코드·네트워크·인프라 취약점을 중심으로 이뤄졌다면, AI는 새로운 공격면을 만들고 있다”며 “프롬프트 인젝션(prompt injection) 같은 공격은 생성형 AI의 동작 방식과 데이터 처리 맥락을 악용한다”고 설명했다. 이어 그는 “그 결과 보안 범위가 모델의 추론 과정, 입력·출력 제어, 데이터 신뢰성까지 넓어지고 있다”고 덧붙였다.
특히 생성형 AI는 구조상 같은 프롬프트에도 결과가 달라질 수 있어, 고정된 체크리스트만으로는 위험을 안정적으로 재현하기 어렵다. 오 본부장은 “가드레일(안전장치)로 위험한 입력·출력을 막고, 레드티밍(모의침투)으로 시나리오 기반 검증을 병행해야 한다”며 “자동화 테스트와 함께 보안 전문가의 분석과 점검도 함께 이뤄져야 한다”고 설명했다.
AI는 공급망 위협도 키우고 있다. 최근에는 AI의 데이터 학습부터 서비스 실행까지 전 과정을 공급망으로 보는 ‘AI 자재 명세서(AIBOM)’라는 개념도 등장했다. 소프트웨어 자재명세서(SBOM)가 소프트웨어 구성 요소를 요구했다면, AIBOM은 학습 데이터, 추적성, 투명성 같은 AI 특수 정보를 더 요구할 수 있다는 설명이다. 오 본부장은 “AI를 개발하는 과정에서 자연스럽게 구성 정보를 남겨야 나중에 보안 평가·인증 과정에서도 설명이 가능해진다”고 말했다.
또한, 오 본부장은 AI가 가져온 변화가 공격과 방어의 속도 차이로도 이어진다고 짚었다. 공격은 AI로 자동화돼 속도가 빨라지고 범위도 확대되고 있지만, 방어는 인력과 절차, 예산에 묶여 속도를 내기 어렵다는 진단이다. 그는 “(공격과 방어의) 격차가 나는 순간 빈틈이 생기고, 이는 곧 보안 사고로 이어진다”며 “따라서 정책 차원에서 전주기 지원을 통해 공격 속도와 대응 속도 간 격차, 우리 기업과 해외 기업의 기술 격차를 줄여가야 한다”고 말했다.
특히 그는 해외의 동향을 예로 들며 “클로드 코드 시큐리티(Claude Code Security)와 코덱스 시큐리티(Codex Security)처럼 취약점을 자동으로 찾고 패치까지 시도하는 흐름이 나타나고 있다”고 짚었다. 이어 “최근 개최된 RSAC 2026에서는 ‘디펜스클로(DefenseClaw)’처럼 AI 에이전트를 쓸 때 생기는 보안 문제를 더 깊게 보겠다는 기술도 나왔다”며 “공격이 빨라지니까 방어도 그 속도에 맞춰 진화하고 있다. 이런 글로벌 흐름에 맞춰 우리의 AI 보안 산업도 더 성장해 가야 한다”고 덧붙였다.
시제품에서 ‘매출’로…KISA가 말하는 전주기 지원
AI보안산업본부가 올해 AI 보안 산업 육성을 위해 내세운 키워드는 ‘전주기 지원’이다. 오 본부장은 “2022년부터 보안기업이 AI 보안 제품을 만드는 지원사업을 해왔고, 현재까지 60~70개 업체의 시제품이 나왔다”고 말했다. 그는 “여기서 멈추면 산업이 커지지 않는다”며 “사업화로 이어져야 한다”고 강조했다.
오 본부장이 말한 전주기는 단계가 끊기지 않는 지원 구조다. “기술 개발 뿐 아니라 보안 기업이 마케팅을 할 수 있게 하고, 투자 유치도 받게 하고, 해외 진출까지 도와주는 게 필요하다”는 설명이다. 그는 특히 “올해는 사업화를 한 뒤 해외에서 직접 개념검증(PoC)까지 해보려고 한다”며 “해외에서 우리 보안 기업이 만든 제품을 써보도록 하는 과정이 해외 진출의 출발점”이라고 말했다.
전주기 지원은 ‘대상’도 넓게 잡았다. 오 본부장은 “국내 보안기업이 1700여개 수준인데, 한국정보보호산업협회(KISIA) 회원사는 300여개에 그친다”며 “그 밖의 중소 보안 기업은 지원받기 어려운 구조라 더 많이 도와줘야 한다”고 말했다. 일부 대표 기업 중심이 아니라 중소 보안기업까지 포함해 AI를 잘 활용할 수 있게 저변을 넓히는 방식으로 전주기를 설계하겠다는 뜻이다.
전주기 지원 4개 축…AI 보안 제품, 원천기술, 인재 양성, 정책 지원까지
오 본부장은 전주기 지원에서 AI보안산업본부의 역할을 ▲AI 보안 정책 수립 ▲AI 보안 기업 지원 ▲AI 보안 원천 기술 연구개발(R&D) ▲AI 보안 인재 양성 네 축으로 정리했다. 방향은 같다. 기존 보안 산업에 AI를 실제로 입혀 제품과 서비스, 인력, 시장까지 바꾸겠다는 것이다.
먼저 R&D는 기업이 자체적으로 투자하기 부담스러운 AI 보안 원천기술에 초점을 맞춘다. 오 본부장은 “기업이 당장 매출로 연결하기 어려운 영역은 공공이 먼저 떠안고, 성과는 기술이전 방식으로 민간에 넘겨 제품화와 사업화로 이어지게 할 것”이라고 설명했다.
인재 양성도 전주기 지원에서 중요한 축이다. KISA는 중·고등학생부터 실무자, 최정예 과정까지 단계별 파이프라인으로 올해 2만2053명 양성을 목표로 제시했다. 사이버 가디언즈 1010명, K-쉴드(K-Shield) 주니어 600명, 화이트햇 스쿨 등 중급 과정 2435명, K-쉴드·차세대 보안리더(BoB)·S-개발자 등 최정예 과정 1650명, 실전형 사이버훈련장 7200명으로 구성한다.
오 본부장은 인재 양성에서 가장 중요한 부분으로 ‘실무 훈련’을 강조했다. 정보보호 전문대학 등 대학교에서 배우는 교육만으로는 현장 투입이 어렵고, AI가 보안 제품과 관제, 탐지 체계에 실제로 어떻게 적용되는지 몸으로 익히는 훈련 과정이 필요하다는 것이다. 그는 “실무 환경과 비슷한 현장에서 5년은 훈련을 받아야 한다”며 “보안업계가 사람이 없어서 힘들다고 하는 이유는 절대적인 인력이 없다는 게 아니라 적절한 훈련을 받은 인력이 없어서 그런 것”이라고 짚었다.
이 문제를 해결하기 위해 KISA는 보안 인재를 관리하는 전문 플랫폼도 구상하고 있다. AI 기반 역량 진단과 교육 추천을 확대하고, 경력 경로 설계와 채용, 채용 후 재교육 추천까지 묶는 ‘한국형 정보보호 인재 관리 플랫폼’을 구축하겠다는 계획이다. 오 본부장은 “인력이 AI를 기반으로 스스로 자가 테스트를 하고, 수준에 맞는 과정을 추천받고, 취업 연계까지 가는 구조”라고 설명했다.
기업 지원에서는 보안기업의 AI 전환(AX)을 전면에 뒀다. KISA는 보안기업이 AI를 활용해 제품을 만들고, 이를 상용화와 해외 진출까지 이어가도록 지원을 넓히고 있다. 단순히 AI 기술을 소개하는 데 그치지 않고, 실제 보안 제품과 서비스 안에 AI를 넣어 경쟁력을 높이는 단계까지 가겠다는 방향이다. 동시에 제로 트러스트 확산과 함께 AI 기반 차세대 보안 제품 상용화 지원사업인 ‘AX-스프린트(AX-Sprint)’를 올해 주요 수단으로 제시했다.
실제로 최근 KISA는 산업통상자원부와 과학기술정보통신부가 추진하는 ‘AX-스프린트 300’ 사업과 연계해 보안 분야에서 3개 과제를 확보했다. 과제는 AI를 활용한 보안 제품 개발, 영상·생체인식·출입통제·센서 데이터를 학습해 경보 정확도를 높이는 물리보안 고도화, 보이스피싱 관련 정보를 AI로 학습해 탐지·차단에 활용하는 내용이다. 오 본부장은 “연말에 각 부처가 상용화 사업 결과물을 발표할 텐데, AX에서은 보안 쪽이 가장 각광받을 것으로 보고 있다”고 말했다.
정책 수립은 이런 흐름을 산업으로 굳히는 역할을 맡는다. 오 본부장은 AI 보안이 일회성 사업이 아니라 산업의 한 축으로 자리 잡으려면, 기술개발과 상용화 지원에 더해 시장에서 실제로 투자와 매출이 도는 구조까지 만들어야 한다고 봤다. 그는 AI 보안을 위한 ‘전주기 지원’의 마지막 단계가 결국 시장에서의 지속 가능성이라고 설명했다. 시제품과 상용화를 넘어 투자가 이어져야 기업이 인력과 R&D에 다시 투자하고, 그 결과가 다시 제품 경쟁력으로 돌아온다는 것이다.
끝으로 오 본부장은 “기업이 보안에 투자했을 때 실질적인 이득이 있어야 한다”며 “정부가 보안 투자에 대한 인센티브를 만들고, 보안 제품과 서비스에 적정한 대가가 돌아갈 수 있도록 제도적 기반을 갖춰야 한다”고 말했다. 이어 “그 발판 위에서 KISA는 AI 시대에 맞는 보안 산업 지원 사업을 현장에서 구체화하고, 기업의 AI 전환과 상용화가 실제 성과로 이어지도록 뒷받침해 나갈 것”이라고 덧붙였다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
