한국 정부·기업, '글래스윙' 합류로 미토스 접근권 확보 최첨단 AI 확보에도 활용 전략·공유 체계는 불투명 민간·공공·국방으로 쪼개진 사이버 보안 거버넌스 AI 공격은 초 단위, 정부 의사결정은 여전히 하세월 "대통령 아젠다로 격상해 총력 대응 체계 갖춰야"
한국 정부 산하 기관과 기업 3곳이 앤트로픽이 주도하는 '프로젝트 글래스윙(Project Glasswing)'에 합류했다. '클로드 미토스'의 접근권을 확보해, 취약점을 미리 탐지하고 대응할 수 있게 됐다. 사이버 공격을 바이러스에 비유한다면, 소수에게만 주어지는 백신을 확보한 셈이다.
하지만, 최첨단 기술이 사이버 위협을 막는 '전가의 보도'가 되어선 곤란하다는 지적이다. 사이버 공격에 신속하게 대응할 수 있는 일원화된 체계를 구축하고 이를 뒷받침할 법 체계를 마련하는 일이 필수 과제로 떠올랐다.
■ KISA 참여 확인됐지만 활용 방안 '안갯속'
숙원 과제가 해결됐음에도 정부 차원의 공식 발표는 아직 없다. 클로드 미토스라는 강력한 도구를 확보했지만, 이를 국가 차원에서 어떻게 활용할지에 대한 청사진은 아직 공개되지 않았다.
과학기술정보통신부가 한국인터넷진흥원(KISA)을 통해 해당 프로젝트에 들어가게 됐고, 기업 중에서는 삼성전자와 SK하이닉스, SK텔레콤이 참여한다는 것이 공개된 내용의 전부다. 이마저도 국내 언론이 아닌 로이터를 비롯한 외신 보도를 통해 알려졌다.
정부 공식 발표가 지연되는 동안, 불확실성이 증폭되는 모습이다. KISA가 최첨단 사이버 보안 AI 모델인 '클로드 미토스 프리뷰'를 어떤 방식으로 활용할지, 다른 정부 부처와 산하 기관도 접근할 수 있는지, 중소기업 역시 글래스윙 편입의 혜택을 얻게 될 지 등을 둘러싼 궁금증이 해소되지 않고 있다.
KISA가 향후 국내 사이버보안 정책에서 어떤 역할을 맡게 될지도 관심사다. KISA는 과기정통부 산하 기관으로, 기업을 비롯한 민간 영역 보안을 담당하고 있다. 랜섬웨어 대응과 정보보호 인증 지원 등을 주로 수행한다. 공공·정부 영역은 여전히 국가정보원이, 국방 분야는 사이버작전사령부가 담당하고 있다.
과기정통부 관계자는 "KISA가 참여하는 것은 확인됐지만, 과기정통부 차원의 공식 입장은 아직 발표된 바 없다"고 밝혔다.
앤트로픽 프로젝트 글래스윙 홈페이지
■민간·공공·국방 분산 구조…'보안 거버넌스' 필요
사이버 보안 업무는 여전히 부처와 기관 별로 분산 돼 있다. 이런 구조에선 의사결정 속도가 늦어질 가능성이 높다. 해킹 공격이 발생하면 보고 체계에 따라 상황 파악과 대응 방안 검토, 예산 집행 등의 절차를 거쳐야 하기 때문이다.
이로 인해 미토스라는 최첨단 도구를 지니고 있음에도, 해킹 공격에 대한 대응이 늦어질 수 있다는 지적이 나온다. 일원화된 보안 체계를 수립해 의사결정 구조를 단순화해야 한다는 주장이 제기되는 배경이다.
사실 인공지능 정책을 총괄하는 컨트롤타워는 이미 존재한다. 대통령이 위원장을 맡는 민관 합동 최상위 심의·의결 기구인 국가인공지능전략위원회다.
그러나 최근 핵심 인사인 하정우 AI미래기획수석과 임문영 상근 부위원장이 선거 출마를 위해 잇따라 사임하면서 위원회가 사실상 유명무실해졌다는 비판이 제기된다.
글로벌 빅테크 협력과 독자 AI 모델 개발 등 굵직한 현안이 산적해 있지만, 지도부 공백이 한 달 넘게 이어지고 있는 상황이다.
임종인 고려대 정보보호대학원 명예교수는 "우리 힘 만으로는 어렵고 기술을 중심으로 한 국제 협력이 필수적이다. 이것은 과기정통부 장관 혼자 감당할 수 있는 문제가 아니다"라며 "국정원과 행안부, 과기정통부, 국방부가 함께 움직여야 한다. 그러려면 대통령 어젠다가 돼야 한다"고 말했다.
이어 "바로 대통령 직속 국가인공지능전략위원회가 정상적으로 가동돼야 한다는 의미"라며 "위원회가 활성화되는가 싶었는데 핵심 인사들이 선거에 출마하면서 사실상 멈춰버렸다. 대통령은 집권 2년 차를 맞아 애국심과 전문성을 겸비한 인물을 발탁해 위원회를 제대로 이끌어야 한다"고 덧붙였다.
■ 사이버 안보는 상시 전시 체제...범정부 총력 대응 필요
사이버 안보를 바라보는 시각 자체가 달라져야 한다는 주장도 나온다. 기존에는 '칼과 방패의 싸움'이 국지전 양상으로 펼쳐졌고 횟수도 적었지만, AI 기술이 등장한 이후에는 24시간 지속되는 전면전 양상으로 바뀌었기 때문이다.
쉽게 말해 사이버 보안 시대에는, 상시적 전시 상황을 새로운 표준(New Normal)으로 봐야 한다는 것.
예컨대 코로나19 당시 각 정부 부처와 기관이 한 몸처럼 움직이며 바이러스 확산에 대응했던 것처럼, 사이버 위협에도 범정부 차원의 총력 대응 체계를 갖춰야 한다는 주장이다.
다만, 모든 사이버 공격에 대응하는 것은 사실상 불가능하다는 것이 전문가들의 공통된 견해다.
과거에는 공개되는 취약점 수가 상대적으로 적어 보안업체들이 신속하게 패치를 제공할 수 있었다. 하지만 최근 신규취약점(CVE)이 폭증하면서 미국 국립표준기술연구소(NIST)조차 운영 부담을 호소하는 상황이다.
미처리 취약점이 2024년 3월 1만 3000건에서 2025년 말 2만 7000건 수준으로 두 배 넘게 증가하며 '감당 불가' 수준에 이르렀다.
새로운 취약점에 맞춰 패치를 제작해야 하지만, 패치 개발 속도가 취약점 증가 속도를 따라가지 못하는 병목 현상이 심화되고 있다.
곽진 아주대학교 사이버보안학과 교수는 "공격 자동화가 진행될수록 공격자와 방어자 사이의 비대칭성은 커질 수밖에 없다"며 "같은 수준의 AI 역량을 방어 측에도 도입해야 한다. 특히 에너지·금융·의료·통신 등 국가 핵심 기반 시설부터 우선 적용하는 방안을 검토할 필요가 있다"고 강조했다.
한국인터넷진흥원(KISA) 인터넷침해 대응센터 종합상황실에서 직원들이 랜섬웨어와 관련해 상황을 주시하고 있다. / 사진=뉴스1
■ 공격은 48시간, 방어는 60일...AI가 만든 시간 격차
일원화된 지휘 체계가 없다는 것은 신속한 대응이 어렵다는 의미다. AI가 초 단위로 공격을 수행하는 시대에는 이러한 구조적 한계가 국가 안보에 걸림돌이 될 수 있다.
보안업체 벌른체크(VulnCheck)와 레코드퓨처(Recorded Future)의 분석에 따르면 공개된 취약점의 50~61%가 48시간 이내에 무기화(weaponized exploit code) 되는 것으로 나타났다. 28.3%는 공개 후 24시간 이내 실제 악용된 것으로 분석됐다.
AI로 공격은 쉬워졌지만 방어는 더 어려워졌다. 기업의 중요(Critical) 취약점 패치에 걸리는 평균 기간은 약 60일 수준으로 알려졌다. 60~150일이 소요된다는 연구 결과도 있다.
공격 준비는 길어야 이틀이면 끝나지만, 방어는 빨라도 두 달이 소요되는 실정이다.
업계에서는 "보안관제센터(SOC) 직원이 커피 한 잔을 마시는 동안 AI 에이전트는 보안 취약점을 탐지하고 연결해 실제 공격까지 수행할 수 있다"는 말까지 돈다.
공병철 국제사이버보안인증협회 회장은 "공격자는 AI의 발전으로 자동화된 AI 도구와 스크립트를 사용해 24시간 쉬지 않고 초 단위로 시스템의 취약점을 탐색하고 공격을 수행한다"며 "미토스와 같은 고도화된 AI 기술은 단시간에 시스템을 공격하는 속도의 비대칭성(Speed Asymmetry)을 가진다"고 말했다.
이어 "반면 방어 측은 의사결정 구조의 경직성으로 인해 보고서 작성 등 대응이 지체되는 시간적 격차가 발생한다"고 부연했다.
■ 진흥 중심 법체계 한계...AI 안보 특별법 필요성 제기
올해 시행된 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(AI 기본법) 만으로는 한계가 있다는 지적도 나온다. AI 기본법은 안보법이라기보다 AI 산업 진흥과 신뢰 확보를 위한 법률 성격이 강하다는 것이다.
실제로 투명성과 안전성 확보 의무, 고영향 AI 사업자의 책무, AI 영향 평가, 해외 빅테크 대상 국내 대리인 지정이 AI 기본법의 핵심이다.
위험 역량을 가진 프런티어 모델에 대한 사전 평가 의무나 자율형 사이버 공격 무기화에 대한 규정이 부족한 상황이다.
한국법제연구원 역시 해당 법이 '규제보다 진흥에 무게를 두고 필요 최소한의 규제 체계를 도입하는 방향'으로 설계됐다고 분석한 바 있다.
곽진 아주대학교 사이버보안학과 교수는 "AI 안보는 기본법에 포함하는 것이 아니라 보안, 안보 관련 법제에서 다루는 게 맞다는 의견도 많다"며 "다만 현재 AI 안보 법제가 미비한 만큼 AI 기본법 보완이나 별도의 AI 안보 특별법 제정을 통해 법적 공백을 메울 필요가 있다고 본다"고 강조했다.
