[권태경 AI보안연구회 위원장·연세대 정보대학원 교수] 2025년 대한민국은 어쩌면 ‘디지털 재난’의 해로 기억될지도 모르겠다. 연초부터 SK텔레콤의 2700만명에 달하는 가입자 유심(USIM) 정보가 그동안 베일에 가려졌던 해킹으로 인해 모두 노출되면서 가히 전국민적인 충격을 안겼는데, 도대체 이 충격이 채 가시기도 전에 전례 없이 굵직한 사이버 보안사고가 연쇄적으로 터진 것이다.

지난 8월에는 롯데카드가 2017년부터 방치된 서버 취약점을 공격당해 약 300만명의 개인정보가 유출되었고, 이 중 28만명의 카드번호와 CVC 등 민감한 결제 정보가 암호화조차 되지 않은 상태로 노출되는 어처구니없는 사고가 발생했다. 뒤이어 9월에는 그동안의 소형기지국 관리 부실로 인해 KT 이용자들을 대상으로 한 해킹으로 소액결제 사기가 기승을 부려 수백 명이 수억 원의 금전적 피해를 입는 등, 대한민국의 디지털 혈맥인 통신사와 금융사의 보안 시스템이 동시다발적으로 무너져 내렸다.

설상가상으로 지난 9월 말 대전 국가정보자원관리원에서 발생한 화재는 사이버 위협이 아닌 물리적 재난이 어떻게 국가 전산망 전체를 마비시킬 수 있는지를 여실히 보여주었다. 리튬이온 배터리 폭발로 시작된 불은 미흡한 재난 대비 체계와 부실한 백업 시스템의 민낯을 드러내며 행정, 금융, 긴급 구조 시스템 등 필수 서비스를 중단시켰다. 연이은 해킹 사태가 기업의 ‘보안 불감증’을 보여줬다면, 전산망 화재는 국가 인프라 관리의 총체적 부실을 증명한 셈이다.

구멍 뚫린 현재: 반복되는 인재와 낡은 인식

올해 발생한 일련의 사건들을 살펴보면 몇 가지 공통적인 문제점을 발견할 수 있다. 첫째는 ‘기본’을 무시한 보안 관리다. 롯데카드 해킹은 수년 전 발견된 취약점을 방치해 발생했으며, SK텔레콤 역시 시스템 침해 가능성을 인지하고도 적시에 보고하고 대응하는 데 실패했다. 이는 막대한 예산을 투입해 최첨단 보안 솔루션을 도입하는 것도 매우 중요하지만, 알려진 위협을 즉각 조치하고 기본 수칙을 준수하는 것이 또한 얼마나 중요한지를 역설한다.

둘째는 사후약방문식의 땜질 처방이다. 대규모 유출 사고가 터지면 언제부터인가 그저 최고경영진이 고개 숙여 사과하고, 막대한 보상안과 재발 방지를 약속하는 모습은 이제 익숙한 풍경이 되었다. 그러나 이러한 대응은 이미 신뢰를 잃고 피해를 본 고객들에게 공허할 뿐이다. 이와 같은 대처가 근본적인 원인 분석과 시스템 개혁보다는 당장의 여론을 무마하기 위한 단기적 처방에 그치면서 유사한 사고가 계속해서 반복되고 있는 것이다.

이러한 혼란 속에서 인공지능, 즉 AI는 위협을 증폭시키는 동시에 가장 강력한 방패가 될 수 있는 양날의 검으로 부상하고 있다. 이미 해커들은 생성형 AI를 이용해 과거와 비교할 수 없을 정도로 정교한 피싱 이메일을 대량 생산하고, 기존 보안 시스템을 우회하는 신종 악성코드를 손쉽게 만들어내고 있다. AI가 사이버 공격의 문턱을 낮추고 파괴력을 극대화하는 '게임 체인저'가 되고 있는 것이다.

하지만 AI는 방어자에게도 강력한 무기를 제공한다. AI 기반 보안 시스템은 수십억 개의 데이터를 실시간으로 분석하여 인간이 식별하기 어려운 미세한 이상 징후를 포착하고, 잠재적 위협을 예측해 선제적으로 방어할 수 있다. 또한, 소프트웨어 개발 단계에서부터 AI가 코드의 취약점을 분석하고 수정안을 제시함으로써, 롯데카드 사태와 같은 ‘알고도 방치하는’ 허점을 원천적으로 차단할 수 있다. 

한편 거대언어모델(LLM)과 같은 생성형 AI와 올해 화두가 되었던 에이전틱 AI의 개발과 도입은 오히려 해커들에게 또다른 공격 방법과 그 대상을 제공하게 되는 측면이 있다. 특히 입력 프롬프트에 기반한 탈옥 같은 공격들이 잇달아 실체로 드러나면서, 프롬프트 인젝션을 통한 다양한 보안과 안전 문제가 심각하게 우려되고 있다. 참고로 필자의 연구실에서는 현재 과학기술정보통신부의 지원을 받아 이와 같은 문제에 대응하기 위한 연구를 수행하고 있다.

미래의 위협이자 해법...AI라는 양날의 검

대한민국의 사이버 보안이 잃어버린 신뢰를 되찾고 기존의 디지털 강국 위상을 지키기 위해서는 패러다임의 대전환이 필요하다. 따라서 세 가지 정도 제언을 하고 싶다.

먼저 처벌과 규제의 현실화가 시급하다는 것이다. 그동안 반복되는 보안 사고에도 불구하고 기업에 부과되는 과징금은 ‘솜방망이’ 수준에 그치는 경우가 많았다. 따라서 반드시, 유출된 정보의 가치와 피해 규모에 비례하는 ‘징벌적 손해배상’ 제도를 강화하고, 최고경영진에게 보안 실패에 대한 직접적인 책임을 묻는 등 기업이 보안을 비용이 아닌 생존의 문제로 인식하게 만들어야 한다.

AI 기반의 ‘지능형 방어 체계’로 전면 전환도 필요하다. 국가 차원에서 AI 기반의 보안 기술과, AI 자체의 보안 기술에 대해 모두 집중적인 투자를 확대하고, 관련 인재를 양성하는 데 총력을 기울여야 한다. 민간과 공공이 AI 보안 기술과 위협 정보를 실시간으로 공유하는 강력한 협력 플랫폼을 구축하여, 고도화되는 AI 기반 공격에 국가 전체가 공동으로 대응하는 체계를 마련해야 한다.

특히 무분별한 AI 도입이 오히려 공격자에게 먹잇감을 제공하게되는 우를 범하지 않기 위해서는, AI 보안 기술에 대한 투자가 더욱 많이 이루어져야 한다.

마지막으로 ‘복원력(Resilience)’ 중심의 인프라 설계가 중요하다.국가전산망 화재 사고의 교훈처럼, 완벽한 방어는 불가능하다는 전제하에 사고 발생 시에도 핵심 기능이 중단되지 않고 신속히 복구될 수 있는 시스템을 구축해야 한다. 이는 단순히 데이터를 백업하는 수준을 넘어, 주요 시스템을 물리적으로 분리된 여러 데이터센터에서 동시에 운영하는 '완전 이중화'를 의무화하는 것을 포함한다.

아직 2025년이 저물지도 않았지만 올해 전례없이 발생한 연쇄적 보안 재난은 대한민국 사회 전체에 너무나도 값비싼 교훈을 남겼다. 먼저 우리는 사이버위협은 결코 사라지지 않는다는 사실을 잊지 말아야한다. 사회적 비용을 최소화하기 위하여 반드시 사고의 속도보다 빠른 탐지·격리·복구 체계를 구축해야한다. 통신망·결제망·국가전산망은 더 이상 개별 기업·부처의 문제가 아니라 국가 필수 인프라(critical infrastructure)인 것이다.

우리 대한민국은 이미 초고속 통신망과 높은 디지털 수용도를 지닌 만큼, 보안·안전이 내장된 혁신으로 기준을 다시 세우는 것이 필요하다. 이번 연쇄 사건이 ‘부끄러운 실패’로 끝나지 않으려면, 각 조직은 단기 땜질을 넘어 구조적 투자를 시작해야 한다. 그것이 데이터 경제와 AI 시대의 신뢰 경쟁력을 지키는 유일한 길이다. 이제는 무너진 성벽을 보수하는 수준을 넘어, AI와 데이터라는 새로운 전쟁터에 걸맞은 차세대 방어 요새를 처음부터 다시 설계해야 할 때다. 더 이상 소 잃고 외양간 고치는 우를 범해서는 안 된다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지