정부, 독자 AI 파운데이션 모델에 지난해에만 1300억 투입 미토스가 던진 질문...'AI 만들 수 있느냐' 아닌 '보안' 경쟁력
AI 취약점 대응 민관협력체계 구성도(안)
앤트로픽의 인공지능(AI) 모델 '미토스'가 던진 충격은 단순히 성능이 뛰어난 AI가 등장했다는 데 있지 않다. AI가 스스로 취약점을 찾고 공격 코드를 만들며 침투 경로까지 설계하는 시대가 현실이 됐다는 점이다.
전문가들은 이제 사이버 공격과 방어의 규칙 자체가 바뀌고 있다고 말한다. 공격은 AI 속도로 진화하는데 방어 체계는 여전히 사람 중심으로 움직이고 있다는 것이다.
■취약점 홍수·패치 쓰나미...AI 위협 대응에 정부 나서
최근 제주에서 열린 CPS 보안 워크숍에서 이원태 국가AI전략위원회 보안특별위원장은 "AI는 더 이상 보조 도구가 아니라 독자적인 행위 주체가 되고 있다"며 "취약점 탐지와 공격 자동화 속도가 인간의 대응 능력을 넘어설 수 있다"고 말했다.
실제 보안업계에서는 AI가 찾아내는 취약점 수가 사람이 감당할 수 있는 수준을 넘어설 것으로 보고 있다. 과거 수개월이 걸리던 분석이 수시간 만에 가능해졌고 공격 코드 생성과 침투 경로 탐색도 자동화되고 있다.
이 위원장은 이를 '취약점 홍수'와 '패치 쓰나미'라고 표현했다. 취약점은 쏟아지는데 이를 분석하고 대응할 인력은 부족해질 수 있다는 의미다.
정부도 대응에 나섰다.
과학기술정보통신부는 최근 'AI 기반 사이버위협 대응 민간 정보보호 추진계획'을 발표했다. 한국인터넷진흥원(KISA)을 중심으로 취약점 관리 체계를 강화하고 AI 기반 보안 대응 체계를 구축한다는 내용이다. KISA는 앤트로픽의 글로벌 AI 보안 협력 프로그램 '프로젝트 글래스윙' 참여에도 성공했다.
업계에서는 정부가 AI 보안 위협을 국가적 과제로 인식하고 대응에 나선 점은 긍정적으로 평가한다. 다만 이번 대책이 시작일 뿐 근본적인 해답은 아니라는 지적도 나온다.
AI 기반 사이버위협 대응 민간 정보보호 추진계획
■AI 육성에만 막대한 예산 투입...보안 역량 육성은 '아직'
일각에서는 정부가 강조하는 제로트러스트 정책 역시 보다 구체화할 필요가 있다고 말한다. 제로트러스트는 침해 발생을 전제로 피해 확산을 최소화하는 보안 철학인데, 현재 정책은 여전히 취약점 점검과 패치, 사전 예방 중심 대응에 무게가 실려 있다는 것이다.
국가AI전략위원회 보안특별위원회 분과위원인 김승주 고려대 정보보호대학원 교수는 "제로트러스트는 취약점을 빨리 찾는 기술이 아니다"며 "설령 침해가 발생하더라도 피해가 다른 시스템으로 확산되지 않도록 하는 것이 핵심"이라고 설명했다.
하지만 전문가들이 던지는 더 큰 질문은 따로 있다.
AI가 공격자가 된 시대에 정부가 AI 육성에는 막대한 예산을 투입하면서 정작 AI를 지킬 보안 역량 육성은 상대적으로 뒤처진 것 아니냐는 것이다.
이재명 정부 출범 이후 ICT 정책의 중심에는 AI가 있었다. 정부는 국가AI전략위원회를 출범시키고 대통령실에 AI수석을 신설했다. 독자 AI 파운데이션 모델(독파모) 사업과 국가 AI컴퓨팅센터 구축, GPU 확보, AI 고속도로 프로젝트도 추진하고 있다.
특히 독파모 사업에는 지난해에만 1300억원이 투입됐다. 정부는 이를 통해 AI 기술 주권을 확보하고 'AI 3대 강국(G3)'으로 도약하겠다는 목표를 내세웠다.
실제 미국 스탠퍼드대 인간중심AI연구소(HAI)의 'AI 인덱스 2026' 보고서는 한국을 미국과 중국에 이어 세계 3위 수준의 AI 모델 보유국으로 평가했다.
문제는 AI 기술 경쟁력이 높아질수록 보안의 중요성도 함께 커진다는 점이다.
미토스 사례가 보여준 것처럼 앞으로는 AI가 취약점을 찾고 공격을 자동화하는 시대가 열린다. AI를 잘 만드는 것만으로는 충분하지 않다. AI를 보호하고 AI 공격에 대응할 수 있는 보안 역량도 함께 갖춰야 한다.
하지만 국내 정보보호 산업은 AI 산업만큼 주목받지 못하고 있다는 평가가 나온다.
정부는 올해 AI 전체 분야에 10조원 이상 예산을 편성하며 AI G3 도약에 정책 역량을 집중하고 있다. 반면 정보보호 업계에서는 AI 투자 규모에 비해 보안 분야 투자와 산업 육성 정책은 상대적으로 부족하다는 지적이 나온다.
■"해외처럼 사이버 보안 국가 전략사업으로 키워야"
해외 주요국들은 이미 보안을 국가 전략산업으로 육성하고 있다.
미국은 사이버보안·인프라보안국(CISA)을 중심으로 국가 차원의 사이버보안 체계를 운영하고 있다. 이스라엘은 정부 주도로 보안 스타트업 생태계를 육성하며 세계적인 사이버보안 강국으로 성장했다. 중국 역시 사이버안보를 국가 전략으로 규정하고 관련 산업 지원을 확대하고 있다. 영국도 올해부터 이스라엘식 보안 산업 육성 모델을 벤치마킹한 '사이버 플라이휠' 전략에 힘을 싣고 있다.
김진수 한국정보보호산업협회(KISIA) 회장은 "AI 산업을 국가 전략산업으로 육성하듯 보안산업 역시 국가 안보와 직결된 전략산업으로 접근해야 한다"며 "AI 기술이 발전할수록 공격도 함께 고도화되는 만큼 AI와 보안은 함께 성장해야 한다"고 강조했다.
이어 "해외 주요국은 이미 보안산업을 국가 경쟁력 차원에서 육성하고 있다"며 "국내 기업들의 해외 진출 지원과 정보보호 예산 확대, 공공 부문의 적극적인 보안 투자도 필요하다"고 말했다.
업계에서는 AI 시대에는 보안이 단순한 비용이 아니라 국가 경쟁력을 구성하는 핵심 산업이 될 것으로 보고 있다. 반도체와 AI처럼 보안 기술 역시 수출 산업으로 육성해야 한다는 주장이다.
업계에서는 정부가 단순한 규제기관을 넘어 좋은 고객 역할도 해야 한다고 말한다. 공공부문이 국내 보안 솔루션을 적극 도입하고 실증 기회를 제공해야 글로벌 경쟁력을 확보할 수 있다는 것이다.
최근에는 취약점 검증과 공격 재현, 탐지 규칙 생성, 차단 정책 배포 등 AI 시대 보안 업무 일부를 검증된 민간 전문기업에 적극 개방해야 한다는 의견도 나온다. 정부 조직만으로는 AI가 쏟아내는 수많은 취약점과 공격 시나리오를 모두 감당하기 어렵다는 이유에서다.
■중소기업 직접 지원도 필요..."정보보호 산업이 AI 지킬 것"
중소기업 지원 방식도 과제로 꼽힌다.
정부는 자산 식별과 보안 수준 진단, 투자 가이드 제공 등을 추진하고 있지만 보안 전담 인력이 없는 중소기업 입장에서는 취약점 정보를 받아도 실제 대응이 쉽지 않다.
최근에는 대기업보다 상대적으로 보안 수준이 낮은 협력업체를 노리는 공급망 공격도 늘고 있다. 중소기업이 뚫리면 대기업과 공공기관까지 연쇄적으로 위험해질 수 있다는 것이다.
경찰청 사이버테러범죄 자문위원과 국가안보전략연구원 전문위원으로 활동하고 있는 신승민 큐비트시큐리티 대표는 "중소기업은 사실상 사이버보안 취약계층"이라며 "AI가 취약점 발굴과 공격을 자동화하는 시대에는 단순히 가이드를 제공하는 수준을 넘어 실제 보안 서비스를 지원하는 방식이 필요하다"고 말했다.
미토스가 던진 질문은 한국이 AI를 만들 수 있느냐가 아니다.
전문가들은 AI 시대 국가 경쟁력은 더 좋은 AI를 만드는 능력보다 AI 공격을 견디고 복구할 수 있는 능력에서 결정될 수 있다고 말한다. 정부가 AI를 국가 전략산업으로 육성하겠다고 선언한 만큼, 이제는 AI를 지킬 정보보호 산업 역시 국가 전략산업으로 키워야 한다는 목소리가 커지고 있다.
