[손재권 칼럼] AI가 해킹한다, 우리는 이를 막을 수 없다

2026. 4. 13. 17:19
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
손재권 더밀크 대표


지난 9일 배경훈 부총리 겸 과학기술정보통신부 장관과 정재헌 SK텔레콤 대표, 박윤영 KT 대표, 홍범식 LG유플러스 대표 등이 공동선언식을 했다. 보안 체계 강화와 차세대 네트워크 투자 확대에 역량을 집중하기로 했다. 익숙한 장면이다. 특히 ‘보안’ ‘해킹’과 관련되면 더욱 그렇다. 정부 부처와 통신사들은 ‘철저한 보안’을 수차례 약속했지만 언제나 뚫렸다. 국민들이 “내 개인 정보는 공공재다”란 자조섞인 말도 일상이 됐다.

지난해 통신사, 이커머스, 금융사가 차례로 뚫렸다. SK텔레콤, 쿠팡, 롯데카드 등 대한민국 국민이 매일 쓰는 서비스들이다. 대형 정보유출 재난 사고의 공통점은 ‘기술’이 아니다. 관리자 계정 관리가 엉망이었고 중요 정보는 암호화조차 제대로 안 돼 있었다. 퇴직자가 들고 나간 인증키를 회사가 폐기하지 않은 채 방치했다. 해커는 제 집 드나들듯 서버를 휘젓고 다녔다. 외부의 위협도 현재진행형이다. 북한 배후로 지목된 해킹 조직의 활동이 지난 1년간 86건으로 집계됐다. 라자루스, 김수키 등이 정부기관, 금융사, 언론사를 연중 쉬지 않고 두드린다. 지난 3월에는 북한 연계 조직이 한국인 대부분이 매일 쓰는 카카오톡을 악성코드 유포 경로로 활용했다. 일상의 도구가 무기가 됐다.

그런데 이것은 예고편에 불과하다. 마치 코로나 팬데믹이 중국 우한에서부터 와서 전세계로 퍼졌듯, 더 큰 충격파가 미국에서 발발했다. AI 기업 앤트로픽이 개발한 새 AI 모델 ‘클로드 미토스’가 사이버 공격을 스스로 수행하는 능력을 드러내면서 미국 재무장관이 지난 4월 8일 월가 CEO들을 긴급 소집한 것이다.

미토스 충격은 숫자가 모든 것을 말해준다. 숙련된 보안 전문가팀이 1년에 겨우 100개 찾아낼 수 있는 치명적 취약점을 이 AI는 수천 개 단위로 탐지한다. 27년간 아무도 발견하지 못한 운영체제의 구멍을 스스로 찾아내 원격으로 시스템을 다운시켰다. 더 섬뜩한 것은 이 능력이 개발자의 의도 밖에서 저절로 나타났다는 사실이다. 사람(해커)이 설계한 것이 아니라, AI가 자기들 맘대로 ‘창발’한 것이다.

지금까지 정교한 사이버 공격에는 수년간 훈련된 전문가가 필요했다. 러시아, 중국, 북한 등은 해커들을 전문적으로 키웠다. 희소한 자원들이 ‘사람’이었다. 그 희소성이 일종의 자연적 방어막 역할을 한 것도 사실이다. 그들을 막으면 된다고 생각했다. 하지만 앤트로픽의 미토스는 그 방어막을 제거했다. 누구든 채팅창에서 AI에게 “이 시스템의 약점을 찾아 침투 경로를 만들어라”고 명령하면 된다. 국가, 회사나 사회에 불만이 있으면 앱만 열어서 누구든 할 수 있다.

통신사 내부망에 4년간 잠복할 수 있었던 수준의 해킹이, 이제 전문 인력 없이도 가능한 시대가 됐다는 뜻이다. 북한 해킹 조직이 이 AI를 손에 쥔 세계를 상상해보라. 미 재무장관과 미국 월가 금융사 CEO들의 긴급 소집은 ‘국가 안보가 위험하다’는 신호였다.

이는 보안산업 전체에 더 근본적인 질문을 하게 한다. 과연 ‘막는다’는 철학과 전략은 아직 유효한가라는 질문이다. 솔직히 인정해야 한다. 그들을 막을 수 없다. AI가 수천 개의 취약점을 자율적으로 탐색하는 세계에서 완벽한 방어는 개념적으로 성립하지 않는다. 하지만 이 진실을 받아들이는 순간 전략이 바뀐다.

현대 의학은 인간이 절대 병에 걸리지 않도록 막는다는 전제로 운영되지 않는다. 감염됐을 때 얼마나 빨리 발견하고, 얼마나 좁게 격리하며, 얼마나 빨리 회복하는가에 집중한다. 보안도 같은 논리로 재설계돼야 한다. 성공의 기준이 달라져야 한다. “한 번도 뚫린 적 없다”가 아니라 “뚫렸을 때 3분 안에 발견하고 15분 안에 격리했다”가 새로운 보안의 언어가 되어야 한다. 공격자가 반드시 들어온다는 것을 전제로, 피해를 최소화하고 빠르게 회복하는 시스템을 설계하는 것이 AI 시대 보안의 핵심이다.

이 전환은 기술만의 문제가 아니다. 마인드셋과 구조의 문제다. 한국에 지금 필요한 것은 세 가지다. 국가는 부처별로 쪼개진 사이버 거버넌스를 시급히 통합해야 한다. 과기부, 개인정보보호위원회, 국정원으로 분산된 지금의 칸막이 구조로는 동시다발 공격에 기민하게 대응할 수 없다. 실질적 권한을 가진 컨트롤 타워가 필요하다.

기업은 보안을 비용이 아닌 생존 전략으로 재정의해야 한다. 선언하고 양해각서를 쓰고 CISO를 형식적으로 선임하는게 중요한게 아니다. 예산과 권한도 같이 줘야 한다. 한국의 그동안 개인정보 재앙은 첨단 해킹 기술 때문이 아니었다. 기본을 지키지 않은 결과였다.

무엇보다 사고가 나지 않는 것을 목표로 삼는 것을 멈춰야 한다. ‘이미 들어온 공격자를 얼마나 빨리 찾아내고, 얼마나 좁은 범위에서 막아내느냐’로 패러다임을 바꿔야 한다. 막을 수 없다는 현실을 인정하는 것, 역설적으로 그것이 진짜 보안의 시작이 될 것이다.

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.