"보안 없인 AI 강국도 없다…정보보호 투자, 일정 비율 권고해야"

AI 모델 확산 전 ‘설계 단계 보안’이 먼저
"해커는 하나, 대응은 여럿…분산된 거버넌스 위협"

기업의 정보기술 투자 대비 정보보호 투자 비율을 일정 수준 이상으로 권고해야 한다는 제언이 나왔다. 8일 서울 송파구 IT벤처타워에서 열린 과학기술정보통신부 주관 '정보보호 산업계 간담회'에서 김태균 펜타시큐리티시스템 대표는 "지금 상장 기업 같은 경우는 6% 정도 투자가 이뤄지는데, 10%까지 제도적으로 일정 비율을 확보한다면 기업들의 자발적인 보안 투자가 촉진될 수 있다"고 말했다.

류제명 제2차관이 주재한 이날 간담회에서 업계 관계자들은 AI 강국 실현을 위한 전제조건으로 사이버보안 역량 강화와 정보보호 산업의 체계적 육성을 강하게 요구했다. 보안 기술을 단순한 리스크 관리 수단이 아닌 국가 전략 산업으로 인식해야 한다는 취지다.

현장에는 안랩, 이글루시큐리티, 펜타시큐리티시스템, 이로운앤컴퍼니 등 국내 주요 정보보호 기업들이 참석해, 갈수록 지능화되는 사이버 위협과 활용이 미흡한 AI 보안 기술, 산업 내에서 후순위로 밀리는 정보보호의 현실 등을 공통 과제로 지목했다.

윤두식 이로운앤컴퍼니 대표는 "소버린 AI가 국내에 확산되면 결국 SOC(사회기반시설)와 공공, 민간망까지 퍼질 것"이라며 "시장에 본격 진입하기 전부터 '디자인 바이 시큐리티' 개념으로, 보안을 처음부터 내장한 AI 모델이 준비돼야 한다"고 강조했다. 그는 "AI를 보호할 사이버보안 기술 역시 초기에 함께 개발돼야 하며, 이는 향후 해외 수출 경쟁력과도 직결된다"고 덧붙였다.

현장 실무자의 경험에서 나온 문제 제기도 있었다. 정일옥 이글루코퍼레이션 전문위원은 "AI 기반 보안 제품을 만들고 적용하는 입장에서 가장 어려운 점은 '기준이 없다'는 것"이라며 "보안 제품에는 보통 명확한 규격이 있지만, AI 제품은 어느 수준까지 개발하고 어떻게 적용해야 할지조차 발주기관과 공급기업 모두가 불확실하다"고 말했다.

해외 진출 전략과 산업 생태계 확장을 위한 구조적 개선 필요성도 강조됐다. 이상국 안랩 전무는 "AI 기술이 신뢰를 얻기 시작하면서 그동안 글로벌 시장에서 한계를 느껴온 보안 기업에도 새로운 기회가 열리고 있다"며 "안랩은 국내 대표 보안기업이지만, 글로벌 시장에서는 여전히 존재감을 확보하는 데 어려움을 겪고 있다"고 밝혔다.

그는 "AI 자체는 아직 수익을 직접 내지 못하고 있으며, 기존 제품의 신뢰도를 높이는 데 활용되고 있을 뿐"이라며 "국내 보안기업끼리 경쟁하기보다, 자동차·금융·조선 등 타 산업과 연대하고 협력 생태계를 키워 글로벌 톱티어와 맞설 수 있는 구조를 만드는 것이 절실하다"고 강조했다.

이형택 이노티움 대표는 최근 국내에서 실제 기업이 수십억원 규모의 해커 요구에 응하려 한 사례를 들며, "그만큼 데이터가 중요한 시대지만, 피해 기업은 어디에도 하소연할 수 없고, 피해 신고를 꺼리는 구조"라고 지적했다. 그는 "예를 들어 방산 협력사의 설계도 유출 사건조차 관할이 국정원인지, 수사본부인지, 국군방첩사령부인지 분명하지 않은 현실"이라며 "해커는 단일 조직이지만, 우리는 거버넌스가 분산돼 있어 신속한 대응이 어렵고 책임소재도 모호하다"고 말했다.

특히 그는 "최근 해커들은 AI와 클라우드 기반 구조를 결합한 '서비스형 랜섬웨어(RaaS)'로 공격을 고도화하고 있다"며 "국가적 차원의 방어 체계, 인증·수출 정책과 법 제도까지 전면 재설계가 필요한 시점"이라고 강조했다.

류 차관은 "정보보호가 잘 주목을 받지 못하는 분야라 사회적으로 그 중요성을 제대로 평가받지 못하는 경향이 있다"며 "AI의 발전의 경쟁력의 가장 중요한 기반으로서 정보보호와 사이버 보안 역량이 반드시 수반돼야 된다는 사회적인 공감대가 모일 수 있도록 적극 지원하겠다"고 말했다.

박유진 기자 genie@asiae.co.kr