국가AI전략위원회 보안 TF 리더 이원태 국민대 특임교수 인터뷰
사전 규제 위주 감독…韓 보안 제도의 한계
사고 이후 투명하게 설명하는 ‘책임 피드백 체계’ 구축해야
이원태 국민대 특임교수가 서울 중구 KG타워에서 [이코노미스트]와 인터뷰를 갖고 있다. [사진 김민규 기자]
[이코노미스트 박세진 기자] 정부가 ‘세계 AI 3강’을 내걸고 공공과 산업 전반에 인공지능(AI) 도입을 적극 추진하고 있다. AI의 활용을 통해 행정 효율을 높이고 국가 경쟁력을 강화하겠다는 구상도 잇따라 제시되고 있다. 하지만 이를 뒷받침할 보안 체계는 여전히 과거 패러다임에 머물러 있다는 지적이 나온다. 기술 발전 속도에 비해 ▲제도 ▲규제 ▲인력 ▲대응 체계는 한참 뒤처져 있다는 평가다.
AI 강국을 위해서는 보안이 필수적이다. 정부가 특히 예의주시하고 있는 영역은 ‘낡은 보안 규제’다. 현재 국내 보안 환경은 기술·제도·인력 모두 취약하지만, 기술과 인력은 투자로 어느 정도 메울 수 있다. 반면 제도가 막혀 있으면 투자 자체가 효과를 내기 어렵다는 것이 전문가들의 공통된 진단이다.
한국 보안 제도의 세 가지 문제
국내 보안 제도의 한계는 크게 세 가지로 요약된다. ▲망 분리 중심 구조 ▲서류 중심 보안 인증 ▲사전 규제 위주의 감독 방식이다. 국가AI전략위원회 보안 TF 리더를 맡고 있는 이원태 국민대 특임교수는 [이코노미스트]와의 인터뷰에서 이 세 가지를 국내 보안 체계의 대표적 문제로 지목했다. 국가AI전략위원회가 국가 AI 정책을 총괄·조정하는 컨트롤타워인 만큼, 그의 문제의식은 향후 정부 보안 정책의 방향을 가늠하는 기준이 될 수 있다는 평가다.
이원태 교수는 “망 분리 중심 구조는 클라우드와 AI 시대에 맞지 않는 구시대적 규제”라며 “서류 중심 보안 인증은 기업들이 실질적인 보안 강화보다 형식 요건을 맞추는 데 집중하게 만든다”고 말했다.
이어 “여기에 사전 규제 중심의 감독 방식까지 더해지면서 새로운 기술 환경을 수용하지 못하고, 결과적으로 기술 혁신과 보안 혁신 모두를 늦추고 있다”고 지적했다.
문제는 AI가 보안 패러다임 자체를 바꾸고 있다는 점이다. AI가 산업과 공공 영역 전반에 확산하면서 보안 환경도 근본적으로 변하고 있다. 과거 보안이 정적인 정보통신(IT) 인프라를 지키는 데 방점이 찍혀 있었다면, 이제는 AI가 공격자와 방어자 모두의 무기가 되면서 보안 환경이 훨씬 빠르고 복잡하게 재편되고 있다는 분석이다.
공격 측에서는 AI를 활용해 취약점을 자동으로 탐색하고, 맞춤형 공격을 자동화할 수 있다. 딥페이크를 활용한 사회공학 공격 등 이전에는 보기 어려웠던 새로운 위협도 빠르게 등장하고 있다.
방어 측 역시 변화하고 있다. ▲이메일 작성 ▲코드 실행 ▲클라우드 자원 제어까지 수행하는 AI 시스템이 ‘행위자’(Agent)로 작동하면서 보안의 핵심 질문 자체가 달라지고 있다는 것이다. 하지만 낡은 제도는 이러한 변화를 충분히 반영하지 못하고 있다.
이 교수는 “AI 시대의 보안 위협은 기존 해킹의 연장선이 아니라 국가 인프라와 행정, 산업 운영 전반을 뒤흔들 수 있는 구조적 리스크로 확대되고 있다”며 “제도와 규제, 인력 체계가 이를 따라가지 못하고 있다”고 말했다. 이어 “제로 트러스트(Zero Trust) 기반의 위험 중심(Risk-based) 보안 거버넌스로의 전환하는 것이 시급하다”고 평가했다.
이원태 국민대 특임교수가 서울 중구 KG타워에서 [이코노미스트]와 인터뷰를 갖고 있다. [사진 김민규 기자]
커지는 보안 피로감, 해법은
잇따른 정보 유출과 해킹 사고로 국민의 보안 피로감도 커지고 있다. 이를 단순한 불안 확산으로만 보기보다 기존 보안 체계가 한계에 도달했다는 신호로 해석해야 한다는 지적도 나온다. 국민이 느끼는 피로감의 바탕에는 무력감이 깔려 있다는 분석이다. 보안 수칙은 계속 강화되지만 사고가 발생해도 달라지는 것이 없다는 인식이 반복되면서 신뢰가 약화하고 있다는 것이다.
이 같은 피로감을 줄이기 위해서는 사고 이후 정부와 기업이 투명하게 설명하는 ‘책임 피드백 체계’를 구축해야 한다는 조언이 나온다. 더 나아가 보안은 서비스 설계 단계에서부터 자동으로 구현되는 기본 환경이 돼야 한다는 목소리도 있다.
이 교수는 “반복되는 개인정보 유출로 훼손된 신뢰를 회복하려면 신속하고 실질적인 피해자 통지 의무화와 데이터 처리의 투명성 공시가 필요하다”고 말했다.
그는 “유출 확인 후 72시간 이내 ▲감독 당국 신고 ▲피해자 직접 통지 ▲피해 규모·원인·후속 조치 공개를 최소한의 원칙으로 제도화해야 한다”고 강조했다.
또 “국민이 자신의 데이터가 어떤 AI 학습에 활용되는지 직관적으로 알 수 있도록 ‘보안 대시보드’ 같은 장치도 필요하다”며 “반복적으로 침해 사고를 일으킨 기업에 대해서는 보안 투자 의무 강화와 임원 책임 제도 검토도 병행해야 한다”고 덧붙였다.
업계에서는 AI 시대 보안을 강화하기 위한 단기적이고 현실적인 방안으로 기존 IT·보안 인력의 AI 전환 교육을 꼽는다. 새로운 인력을 처음부터 양성하는 데는 시간이 걸리지만, 현장 경험을 갖춘 인력에 AI 역량을 더하면 비교적 빠르게 성과를 낼 수 있다는 이유다.
장기적으로는 대학의 역할도 중요하다. 그러나 단순히 관련 학과 정원을 늘리는 방식으로는 AI 보안 인력을 충분히 양성하기 어렵다는 지적이 나온다.
AI 보안은 기술 역량만으로 해결되는 분야가 아니라 법·제도 이해, 정책적 위험 판단, AI 윤리에 대한 감각까지 요구되는 대표적인 융합 영역이기 때문이다.
하지만 현재 대학 구조는 여전히 단과대학 중심의 칸막이가 뚜렷하다. 공학 계열 학생들은 법·정책 교육을 접할 기회가 적고, 법학이나 행정학 계열 학생들은 기술 기초 없이 AI 규제를 논하는 경우가 많다는 것이다.
이 교수는 “AI 보안 인력 문제는 대학 교육만의 문제가 아니라 자격·채용·처우·경력 경로 전체를 하나의 생태계로 설계해야 한다”고 말했다. 이어 “교육 체계를 개편해 인재를 길러도 공공 현장에서 역량을 발휘할 제도적 토양이 마련되지 않으면 결국 인재가 민간이나 해외로 빠져나가게 된다”며 “10년 단위의 교육 개편은 인재 생태계 전반의 설계와 함께 추진돼야 한다”고 강조했다.