“컨설팅 1억도 아까워”…AI해킹 충격에도 갈길 먼 ‘보안’ 투자

현실된 AI 위협에도 취약한 보안 현주소
IT 예산 10% 이상 보안, 10곳 중 3곳 뿐
그나마도 유지보수·CCTV 증설이 대부분
배경훈 “AI가 수십 년 보안 체계 무력화”

앤트로픽이 개발한 AI 모델 ‘미토스’가 보안 시스템을 공격할 수 있다는 사실이 알려지면서 사이버보안에 초비상이 걸렸지만, 국내 보안 투자는 여전히 미흡하다는 우려의 목소리가 나오고 있다. [로이터]

#. “첫 번째 해커 10억원, 두 번째 해커 10억원, 세 번째 해커 10억원…그런데 컨설팅 비용을 아까워해요.”

이호석 SK쉴더스 EQST 랩팀 팀장이 기업들의 정보보호 ‘투자’에 대한 인식을 설명하며 소개한 일화다. ‘랜섬웨어’로 해커들의 대상이 된 A 기업은 첫 번째 해커의 요구대로 10억을 준 후, 또 다른 해커들의 집중 타깃이 됐다. 두 번째 해커에게 다시 10억원을 지급하고 나니, 세 번째 해커가 나타나 10억원을 또 요구했다.

네 번째 해커까지 등장하자 더 이상 참지 못하고 보안업체를 찾았다. 그러나 A 기업은 컨설팅 비용 1억원에 대해 난색을 보였다. 해커에게 30억원을 지급하면서도 정작 사이버보안에 1억원을 투자하는 것은 망설인 것이다.

이는 보안 투자에 대한 기업들의 ‘현주소’를 단적으로 보여준 사례다. 비단 A 기업뿐만이 아니다. 잇단 보안 위협으로 국내 기업들이 사이버보안에 대한 ‘중요성’은 인지하고 있으나, 정작 ‘투자’에 대한 인식은 여전히 부족한 것으로 나타났다.

인공지능(AI)이 보안 취약점을 찾아내는 ‘미토스’의 등장으로, AI발 보안 위협까지 커졌다. 보안 ‘골든타임’을 놓치지 않기 위해 기업들의 보안 투자 인식을 전면에서 재검토할 때라는 목소리가 커진다.

▶IT 예산 중 10% 이상 보안 투자…10곳 중 3곳뿐= 17일 시스코가 최근 공개한 ‘2025 시스코 사이버 보안 준비 지수(응답 국내 기업 200곳)’에 따르면 ‘사이버보안에 IT 예산 10% 이상을 할당했다’고 답한 기업은 33% 불과했다. 이마저도 전년보다 7% 감소한 수치다.

응답 국내 기업의 93%가 ‘IT 인프라 업그레이드를 계획하고 있다’고 답했지만, 정작 보안 투자는 낮아진 셈이다.

시스코는 “(사이버보안) 위협이 줄어들지 않고 있는 만큼, 이를 방어하기 위한 집중적인 투자 필요성이 커지고 있다”고 평가했다.

다른 통계에서 드러난 상황도 유사하다. 과학기술정보통신부가 정보보호산업협회와 함께 지난달 발표한 ‘2025년 정보보호 실태조사’ 결과에 따르면, 조사 대상(종사자 10인 이상 기업 5500개, 만 12~69세 인터넷 이용자 3000명 대상) 중 정보보호 예산을 실제로 사용하는 기업은 54.8%에 그쳤다. 그나마 투입된 예산도 제품 유지보수(78.0%), 폐쇄회로(CC)TV 설치·증설(57.4%) 등 기초 영역에 그쳤다.

기업의 80.6%가 정보보호가 중요하다고 인식하고 있지만 실제 대응 여력이 이에 미치지 못했다. 정보보호 업무의 가장 큰 애로점으로 예산 확보가(49.1%)가 꼽혔다.

상황이 이렇다 보니 침해 대응 능력 역시 한계를 보였다. 기업의 침해사고 경험률은 0.2%로 낮았지만, 7.5%는 침해 여부 자체를 인지하지 못했다고 답했다. 침해 피해를 입고도, 피해를 입었는지 조차 알지 못하는 기업들이 적지 않다는 의미다.

▶“정보보호 투자는 ‘비용’이다?” 전면적 인식 개선 시급…정부도 총력 대응= 최근 AI까지 강력한 보안 위협 존재가 되고 있는 만큼, ‘보안 투자는 비용’으로 여기는 기업의 인식 개선이 시급하다는 지적이다.

앤트로픽이 개발한 AI 모델 ‘미토스’가 보안 취약점을 찾아내고, 시스템 공격까지 수행할 수 있다는 사실이 알려지면서 세계 각국 사이버보안에 초비상이 걸렸다.

업계에서는 2~3년 전부터 AI를 통한 사이버공격 가능성에 대한 논의가 지속적으로 이어져왔지만, 기업들이 사이버보안 투자에는 소극적이란 비판이 꾸준히 제기돼 왔다.

이호석 SK쉴더스 EQST 랩팀 팀장은 “지난해 연이은 해킹 사태를 계기로 국내에서도 안일한 보안에 대한 처벌이 강화하고 있는 추세”라며 “해킹을 겪고 사후적인 방식으로 접근하기보다는, 사전적으로 ‘예방’한다는 의식이 중요하다”고 덧붙였다.

이어 “AI가 발달하면서 사이버공격 양상도 다양해지고, 횟수도 늘어나고 있다”며 “보안 패러다임도 시시각각 변하고 있기 때문에, 보안 투자에 대한 기업의 인식도 변해야 한다”고 강조했다.

정부도 총력 대응을 시작했다. 고성능 AI가 수십년 간 자리 잡은 보안 체계를 완전히 무력화 시킬 수 있다는 위기감이 고조된 데 따른 것이다. 보안 시스템 체계를 원점에서 재설계해야한다는 목소리가 커진다.

배경훈 부총리 겸 과학기술정보통신부 장관은 전날 열린 ‘제7회 과학기술관계장관회의’ 모두발언에서 “최근 고성능 보안 역량을 갖춘 AI 모델이 공개되면서 사이버 보안 분야가 다시 중요 이슈로 떠오르고 있다”며 “수십 년 간 안전하다고 믿어왔던 보안 체계가 손쉽게 무력화될 수 있어, 기존 체계 전환이 불가피하다는 게 전문가들의 지적”이라고 말했다.

배 부총리는 “정부는 이러한 상황을 엄중하게 인식하고 부처 간 긴밀한 협력을 통해 사회 전반의 흔들림 없는 사이버 보안 대비 태세를 유지하겠다”며 “관련 동향을 예의주시하면서 향후 대응에도 만전을 기하겠다”고 강조했다. 고재우 기자