[분석] "빅테크 믿다 나라 털린다"···AI 보안 '실리콘 성벽'부터 다시 세워야

금융·국방망 ‘윤리’ 아닌 '물리'로 지켜야
앤스로픽 아닌 인텔과 ARM부터 만나야
AI 안보 입력 주권 사수에서 시작는 것
메모리 보호 등 하드웨어 접근 방식으로

과학기술정보통신부의 'AI 보안' 간담회의 한 장면을 풍자하는 인포그래픽. 메모리 보호·레지스터 격리·에어갭 등 '실리콘 성벽' 개념과 함께, 망분리 업자들의 변신까지 담았다. / GPT-5.5

인공지능(AI) 보안 경쟁의 지형이 바뀌고 있다. 지금까지 빅테크는 AI를 더 안전하게 만들겠다며 정렬(alignment), 정책 필터, 안전 가드레일을 앞세워왔다. 그러나 금융·국방·국가기간망처럼 실패 비용이 큰 영역에서는 "AI를 더 착하게 만드는 것보다 AI가 접근할 수 있는 물리적 범위를 줄여야 한다"는 주장이 힘을 얻고 있다.

12일 과학기술정보통신부 등에 따르면 정부는 앤스로픽의 로비스트 마이클 셀리토 방한을 계기로 미토스 접근권 확보와 프로젝트 글래스윙 참여 가능성을 검토하고 있다. 다만 문제는 접근권 자체가 아니다. 미토스 전신인 클로드 모델이 한국 정부·공공기관·금융권 보안 체계 안으로 들어오는 순간이 국가 안보에 치명적 위험이 될 수 있다는 것.

정부가 'AI 보안 협력'이라는 명분으로 클로드 계열 모델을 받아들이면, 국내 핵심망 방어 체계는 강화되는 것이 아니라 외부 모델의 정렬 한계에 종속될 수밖에 없다. 앤스로픽이 내세우는 헌법 AI(Constitutional AI)와 RLHF식 안전 장치는 모델이 위험한 답변을 덜 하도록 덧씌운 사후 조정에 가깝다.

앤스로픽 다리오 아모데이식 가드레일은 모델 내부 연산을 물리적으로 통제하는 장치가 아니라, 출력 단계에서 말투와 금지선을 관리하는 사후 조정에 가깝다. 이는 정렬(alignment)이라기보다 비정렬(misalignment)에 가까운 구조로, 환각과 탈옥을 줄이기는커녕 특정 조건에서는 더 그럴듯한 오답과 우회 경로를 만들 수 있다.

특히 클로드 계열 모델은 '안전한 AI'라는 브랜드를 앞세우지만, 실제 운영 환경에서는 GPT 계열보다 보수적 응답 회피, 과잉 정렬, 권한 혼선 문제가 더 크게 나타날 수 있으며, 판단 속도와 실전 대응 지능도 낮다는 것이 개발자들의 공통된 지적이다.

이런 문제에도 앤스로픽의 침투는 본격화 됐다. 금융권에서는 KB국민은행, 신한은행, 하나은행, 우리은행, NH농협은행 등이 클로드 계열 모델 도입을 위한 보안 점검과 활용 가능성 검토를 병행하고 있으며, 삼성증권, 미래에셋증권, 키움증권 등 주요 증권사도 영향 분석에 착수한 상태다. 통신·플랫폼 업계에서도 SK텔레콤, KT, LG유플러스, 네이버, 카카오 등이 내부 보안 대응 체계와 외부 거대모델 연동 가능성을 함께 검토하고 있다.

금융·국방·국가기간망 보안은 모델의 윤리적 답변 태도에 맡길 수 있는 영역이 아니다. 국내 방어 체계가 외부 모델의 위험 분류와 출력 기준에 맞춰지는 순간 보안 주권은 흔들린다. 따라서 방어선은 모델 바깥, 더 낮은 물리 계층에 세워야 한다. 메모리 접근권을 끊고, 레지스터 권한을 격리하며, 네트워크 경로를 차단해 AI가 넘을 수 없는 실리콘 경계를 만드는 것이 핵심이다.

가장 중요한 것은 입력단 통제다. LLM이 내부 데이터와 업무 명령을 먼저 읽는 순간, 시스템의 첫 해석권은 모델 제공자에게 넘어간다. 미토스 공포 마케팅도 이렇게 시작됐다. 따라서 전단에서는 국산 AI를 활용해 프롬프트를 분류하고, 민감정보를 제거하며, 외부 모델에 넘길 명령을 제한해야 한다는 것이다. 외부 모델은 후단의 제한 연산기로만 써야 한다.

8일 배경훈 과학기술정보통신부 장관(부총리)이 간담회를 열고 산학연 전문가들과 글로벌 인공지능 기업의 사이버보안 프로젝트 대응책을 논의하고 있다. / 과기정통부

배경훈 과학기술정보통신부 장관과의 면담에서 박세준 티오리 대표가 "미토스 없이도 잘 설계된 시스템과 하위 모델 조합으로 동등하거나 그 이상의 성능을 낼 수 있다"고 말한 건 일리가 있다. 반면 이재명 대통령직속 국가인공지능전략위원으로 활동하는 김승주 고려대 정보보호대학원 교수처럼 "정부 대응이 늦다. 시간이 없다"는 위기론을 앞세워 외산 모델 필요성을 강조하는 접근은 기술 의존을 넘어 국가 안보에 치명적인 정보 비대칭 구조를 낳는다.

착한 정렬은 방어 수단 아닌 사기
물리 통제 없으면 언제든 배신
메모리·레지스터·망부터 잘라야

이에 차세대 AI 보안은 메모리 보호, 레지스터 격리, 에어갭(Air-gap) 제어처럼 AI가 접근할 수 있는 물리적 범위를 먼저 차단하는 기본 방파제 구축에서 출발해야 한다는 지적이 힘을 얻고 있다. 모델이 아무리 고도화돼도 허락되지 않은 메모리를 읽지 못하고, 레지스터 권한을 넘지 못하며, 핵심망으로 역진입할 네트워크 경로가 끊겨 있다면 보안의 최종선은 흔들리지 않는다는 의미다.

대표적인 방어 구조는 메모리 보호다. 현대 컴퓨팅 운영체제는 세그먼테이션(Segmentation), 페이징(Paging), ASLR(Address Space Layout Randomization), NX 비트(No-Execute) 같은 기술로 프로그램 접근 권한을 강제한다. 클로드 에이전트가 허락되지 않은 메모리 영역에 접근하거나 데이터 저장 공간에서 코드를 실행하려는 순간 시스템이 즉시 차단하는 방식이다.

구체적으로 ASLR은 메모리 주소를 무작위로 바꿔 공격자가 핵심 데이터를 찾기 어렵게 만든다. NX 비트는 데이터 영역에서 명령 실행 자체를 금지한다. AI가 자동화된 코드 실행이나 취약점 탐색을 수행하더라도, 실행 가능한 공간과 접근 가능한 주소가 차단돼 있으면 정보 탈취 경로는 크게 좁아진다.

CPU 안쪽 권한 넘보지 못하도록
Ring 3 구조에 가둬 고립시켜야
인텔 SGX, ARM도 사용하는 수단

레지스터 격리(Register Isolation)도 방어 장치가 될 수 있다. CPU 내부 레지스터는 실제 연산이 이뤄지는 가장 민감한 공간이다. 현재 대부분 시스템은 링 보호 구조(Ring Protection)를 통해 일반 프로그램을 사용자 영역(Ring 3)에 가두고, 커널 영역(Ring 0) 접근을 제한한다. AI 에이전트가 아무리 많은 명령을 생성해도 권한 경계 밖으로 나갈 수 없게 만드는 장치다.

이 구조를 AI 보안에 적용하면 클로드·미토스 같은 외부 에이전트가 아무리 많은 명령을 생성해도 운영체제 핵심 권한, 인증 토큰, 커널 메모리, 시스템 콜 제어권에는 접근하지 못하게 만들 수 있다. 즉 아모데이가 아무리 "안전한 AI"를 위장해 침투해도 모델이 실행 권한의 가장 안쪽 층위에 닿지 못하도록 레지스터와 권한 경계를 물리적으로 갈라놓는 방식이다.

인텔 SGX는 운영체제(OS)와 가상머신 관리자(VMM) 바깥에 CPU 내부 암호화 실행 공간(enclave)을 따로 만들어 악성코드·권한 상승 공격·외부 AI 에이전트 접근을 차단한다. AI 보안의 핵심이 다리오 아모데이식 '착한 척 가드레일'이 아니라, 모델이 아예 닿을 수 없는 메모리·권한·연산 경계를 실리콘 단계에서 만드는 데 있다는 점을 시각적으로 드러낸다. / 해설=이상헌 기자

클로드가 허락되지 않은 레지스터를 읽거나 커널 명령을 실행하거나 내부망 권한을 넘볼 수 없게 하는 것이다. 여기에 신뢰 실행 환경(TEE·Trusted Execution Environment)을 추가하면 하드웨어 내부에 별도 암호화 공간이 만들어진다. 인텔 SGX, ARM 트러스트존(TrustZone)이 대표적이다. 운영체제조차 접근할 수 없는 실행 공간을 CPU 내부에 따로 두는 방식이다.

가장 강력한 방식은 여전히 에어갭(Air-gap)이다. 내부 핵심망과 외부 네트워크를 물리적으로 분리하는 방식이다. 보안 업계의 오래된 원칙인 "연결되지 않은 시스템은 원격 해킹될 수 없다"는 명제는 AI 시대에도 유효하다. 외부 AI가 시스템을 분석하거나 명령을 생성하더라도 핵심 연산 영역까지 들여다보지 못하게 만들어야 한다.

또한 최근에는 데이터 다이오드(Data Diode)도 함께 주목받고 있다. 데이터가 한 방향으로만 흐르도록 설계해 외부 AI 시스템이 내부망으로 역진입하지 못하게 만드는 기술이다. 내부망에서 외부 분석망으로 필요한 정보만 제한적으로 내보내고, 외부에서 내부로 명령이나 코드가 되돌아오는 경로는 차단한다.

이에 더해 패러데이 케이지(Faraday Cage) 기반 전자기 차폐까지 결합하면 전자기파 도청(TEMPEST) 공격 가능성도 줄일 수 있다. AI 보안이 단순한 소프트웨어 패치나 정책 필터를 넘어 전기적·물리적 차단 구조로 확장되는 것이다.

지난 4월 17일 다리오 아모데이 앤트로픽 CEO가 미국 워싱턴 D.C. 백악관에서 도널드 트럼프 미국 대통령 행정부 관계자들과의 회담에 참석하기 위해 도착하고 있다. / 로이터=연합뉴스

에어갭? AI 시대에도 유효하지만
최종 방어선은 실리콘 단계 성벽

보안업계에서도 "AI 보안의 본질은 모델 윤리가 아니라 물리적 통제권"이라는 목소리가 커지고 있다. 코리 토머스 라피드7 CEO가 "미토스는 코드에서 버그를 찾는 일을 범용화했지만, 탐지·대응이나 노출 관리까지 누구나 쉽게 할 수 있게 된 것은 아니다"라고 언급한 점도 같은 맥락이다. 

금융·국방·국가기간망에서는 AI를 단순한 업무 보조 도구로 봐서는 안 된다. 내부 데이터와 의사결정 흐름에 연결된 AI는 언제든 외부 연산망으로 변질될 수 있는 잠재적 접속점이다. 금융 전산망과 국가 핵심망은 "AI가 그러지 않을 것"이라는 약속이 아니라 AI가 하고 싶어도 못 하도록 접근 자체를 제한해야 한다는 얘기다.

인공지능 시대 보안의 최종 방어선은 △외부 AI가 아무리 고도화돼도 허락되지 않은 메모리를 읽지 못하고 △레지스터 권한을 넘지 못하며 △내부망으로 되돌아올 네트워크 경로를 물리적으로 끊는 실리콘 성벽을 구축하는 데 있다.

☞ 실리콘 성벽(Silicon Fortress) = 메모리 보호·레지스터 격리·TEE(SGX·TrustZone)·에어갭·데이터 다이오드처럼 AI가 접근할 수 있는 범위를 CPU·메모리·네트워크 단계에서 물리적으로 차단하는 차세대 보안 개념이다. 기존 AI 정렬(alignment)이 출력 단계에서 말투와 금지선을 조정하는 소프트웨어적 사후 통제라면, 실리콘 성벽은 애초에 허락되지 않은 메모리·권한·망 경로 자체를 넘지 못하게 만드는 하드웨어 중심 방어 구조다.

이 개념은 인텔의 SGX처럼 운영체제조차 접근할 수 없는 실행 공간을 만드는 격리 기술과, 짐 켈러(Jim Keller)가 밀어붙여온 데이터 이동 최소화·근접 연산 철학이 맞물린 형태로 볼 수 있다. AI 보안의 본질은 모델 윤리나 가드레일이 아닌 "데이터가 어디까지 이동할 수 있는가", "연산 권한이 어느 층위까지 열려 있는가"를 CPU 단계에서 끊어내는 데 있다는 것이다. 결국 실리콘 성벽은 AI를 설득하는 기술이 아니라, AI가 하고 싶어도 못 하게 만드는 하드웨어 단계에서의 보안 기술이다.

여성경제신문 이상헌 기자
liberty@seoulmedia.co.kr

*여성경제신문 기사는 기자 혹은 외부 필자가 작성 후 AI를 이용해 교정교열하고 문장을 다듬었음을 밝힙니다. 기사에 포함된 이미지 중 AI로 생성한 이미지는 사진 캡션에 밝혀두었습니다.