공격을 잘 막느냐보다 애초에 공격 성립하기 어려운 구조 설계 단일 지점 뚫리더라도 전체 시스템 무너지지 않도록
지난해 7월 5일 미국 뉴욕에서 촬영된 앤트로픽 홈페이지와 모바일 애플리케이션 화면./제공=뉴시스
인공지능(AI) 확산으로 사이버 보안의 접근 방식이 근본적으로 바뀌고 있다. 공격을 탐지하고 차단하는 '방어 중심' 모델에서, 시스템 자체를 신뢰 가능하게 설계하는 '구조 중심' 모델로 무게중심이 이동하는 흐름이다.
이 같은 변화는 최근 고도화된 AI의 등장과 맞물려 가속화되고 있다. 특히 앤트로픽이 공개한 미토스와 같이 취약점 탐지에 그치지 않고 공격 경로까지 스스로 설계하는 AI가 등장하면서, 기존 보안 체계의 한계가 뚜렷해졌다는 분석이 나온다.
수십 년간 발견되지 않았던 취약점을 단기간에 찾아내고, 이를 조합해 실제 침투 시나리오까지 구성하는 수준에 이르자, 단순 대응 중심의 보안 전략으로는 방어가 어렵다는 것이다.
기존 보안은 취약점을 발견하면 패치하고, 침입이 발생하면 탐지·차단하는 방식에 의존해왔다. 그러나 AI가 공격 속도와 정교함을 동시에 끌어올리면서, 사후 대응 방식은 구조적으로 불리해질 수밖에 없다는 지적이다.
보안 업계에서는 "이제는 공격을 얼마나 잘 막느냐보다, 애초에 공격이 성립하기 어려운 구조를 설계하는 것이 중요해졌다"는 평가가 나온다. 이에 따라 '신뢰 설계' 개념이 빠르게 부상하고 있다.
이는 시스템 설계 단계부터 보안을 내재화하는 접근으로, 권한을 최소 단위로 쪼개는 '권한 분산', 시스템 간 상호 검증을 전제로 하는 '제로 트러스트' 구조 등이 핵심 요소로 꼽힌다. 단일 지점이 뚫리더라도 전체 시스템이 무너지는 것을 방지하는 구조적 안전성이 중요해졌다는 의미다.
이 같은 흐름은 글로벌 빅테크와 금융권을 중심으로 이미 확산되고 있다. 내부망과 외부망을 구분하는 기존 경계 기반 보안에서 벗어나, 모든 접근을 검증 대상으로 보는 구조로 전환하는 사례가 늘고 있다. AI가 공격과 방어 양측 모두에 활용되는 상황에서, 기술 대응만으로는 한계가 분명하다는 판단에서다.
결국 향후 보안 경쟁의 핵심은 '기술력' 그 자체보다 '설계 능력'으로 이동할 것이라는 전망이 힘을 얻는다. 단순히 더 강력한 탐지 기술을 확보하는 것을 넘어, 시스템 전체를 신뢰 가능한 구조로 설계할 수 있는 역량이 기업과 국가의 보안 경쟁력을 좌우하게 된다는 분석이다.
