[이코노미스트 정길준 기자]

국내 IT 생태계가 쓰나미처럼 밀려드는 ‘미토스’발(發) 인공지능(AI) 보안 위협 앞에 속수무책으로 당할 위기에 처했다. 글로벌 빅테크들이 ‘그들만의 리그’를 형성해 사이버 보안 핵심 기술을 독점하는 사이, 우리 기업들은 핵무기급 AI의 실체조차 파악하지 못하고 쩔쩔매고 있다. 지금부터라도 보안 거버넌스를 전면 개편하지 않으면 국가 핵심 자산의 자물쇠가 맥없이 풀릴 것이라는 우려가 확산하고 있다.

앤트로픽은 최근 글로벌 빅테크들과 보안 동맹인 ‘프로젝트 글래스윙’을 전격 출범했다. 구글·애플·마이크로소프트·아마존·엔비디아 등 10여 곳이 참여해 자율 보안 분석 AI인 미토스를 활용한 선제적 보안 진단 기회를 얻었다. 하지만 한국 기업은 단 한 곳도 명단에 이름을 올리지 못했다. 글로벌 기업들은 미토스의 강력한 성능을 미리 공유하며 방어 체계를 구축하고 있는데, 국내 기업들은 위협에 미리 대응할 수 없는 정보 사각지대에 고립됐다.

국내 대표 기업인 삼성전자도 미토스의 파급력을 예의주시하고 있지만 별도 대책은 마련하고 있지 않은 것으로 전해졌다. 안드로이드 생태계의 핵심 파트너인 구글이 프로젝트에 참여했음에도 삼성전자가 그 혜택을 직접적으로 받지는 못하는 분위기다. 이에 미토스로 자사 시스템의 취약점을 보완하는 글로벌 경쟁사들과 국내 기업 간의 ‘보안 격차’는 산업 경쟁력의 근간을 흔들 수 있다는 지적이 나온다. 정보 접근권의 차단이 곧 보안 경쟁력의 하락으로 이어지는 구조적 소외가 현실화했다.

“철통 인증 보안 체계 확립해야”

상황의 심각성을 인지한 정부는 서둘러 현황 진단에 나섰다. 과학기술정보통신부는 앤트로픽과 오픈AI가 자사 AI 모델을 사이버 보안에 활용하는 사업을 시작한 것과 관련해 정보 보호 기업 등과 긴급 현안 회의를 했다. 지난 4월 14일 이동통신 3사를 비롯해 네이버·카카오·우아한형제들·쿠팡 등 주요 플랫폼 기업의 정보보호최고책임자(CISO)가 모였고, 이튿날에는 국내 주요 정보 보호 기업들과 미토스가 국내 산업계에 미칠 영향과 고도화 방안을 논의했다.

김진수 한국정보보호산업협회장은 “AI로 인한 보안 위협은 상수라는 가정하에 철통 인증(제로 트러스트) 보안 체계가 기업과 각 기관에 확립돼 있어야 한다”며 기업들의 인식 전환을 요구했다. AI 위협은 소프트웨어 공급망 보안 강화 측면에서 검토돼야 하며, 위험에 노출된 중소기업들의 보안 격차 해소에 정부가 적극적으로 나서야 한다는 목소리도 냈다.

여기에 미토스가 글로벌 표준이 될 경우 외산 AI 의존도가 걷잡을 수 없이 커져 보안 인프라 통제권을 상실할 수 있다는 관측이 제기됐다. 삼성SDS가 올해 2월 공개한 국내 IT·보안 담당자 대상 설문조사 결과, 응답자 667명이 ▲데이터 유출(68.7%) ▲랜섬웨어(63.6%) ▲AI 기반 보안 위협(51.2%) ▲클라우드 보안 위협(33.5%) 등을 지난해 주요 보안 위협으로 꼽았다. 올해 업계에 가장 영향을 줄 것으로 예상하는 사이버 보안 위협은 절대적 비중으로 AI 기반 보안 위협(81.2%)을 언급했다. AI의 공격 속도를 인간이 따라가지 못하는 만큼 미토스와 같은 모델의 도입이 불가피한데, 이 경우 국내 주요 사회간접자본(SOC) 인프라나 데이터센터의 소스코드를 진단하기 위해 핵심 데이터를 해외 서버로 전송해야 한다. 자연스럽게 데이터 주권이 훼손될 수밖에 없다.

지난해 해킹 사태로 골머리를 앓았던 이통 3사는 앞서 약속한 보안 투자 강화에 이어 미토스 리스크까지 관리해야 하는 부담을 안게 됐다. KT 관계자는 “정부와 업계의 대응 기조에 맞춰 취약점 점검 및 이상 징후 탐지 강화 등 사전 예방 노력을 기울이고 있다”고 말했다. LG유플러스도 보안 전략 수립 과정에서 ‘미토스의 영향을 충분히 고려하겠다’는 입장을 내놨다. 다만 한 업계 관계자는 “우리나라에는 미토스의 실체를 아는 전문가가 없다”며 “이 상태에서 어떻게 제대로 대응할 수 있겠나”라고 지적했다.

특히 SK텔레콤은 미토스를 개발한 앤트로픽의 초기 성장에 투자했지만, 현재 미토스와 관련해서는 별다른 소식을 들려주지 못하고 있다. 지분 투자로 동반자 관계를 형성했는데도 핵심 보안 기술 영역에서는 협업이 이뤄지지 않고 있다. SK텔레콤 관계자는 “AI 기반으로 보안을 강화하기 위해 다양한 방안을 검토 중”이라고 전했다.

“AI에 권력 이양하는 정책 시급”

전문가들은 미토스의 등장을 핵무기에 비견했다. 박기웅 세종대 정보보호학과 교수는 “미토스 모델은 보유자에게 엄청난 힘이 되기에 함부로 공개되지 않을 것”이라며 “우리가 핵무기를 무서워하는 이유는 우리에게 없는 위력이 있기 때문인데 미토스 역시 핵무기급 대응이 필요한 대상”이라고 말했다. 이어 “우방국들과의 공조 체계로 동맹 내에서 지분을 차지하는 전략과 함께 국가 안보와 직결된 데이터 및 AI 주권을 주도적으로 확보하는 장기적 로드맵이 시급하다”고 강조했다.

최병호 고려대 휴먼 인스파이어드 AI연구원 교수는 보안 시스템의 전면적인 개편과 권력 이양을 촉구했다. 최 교수는 “현재 공격자가 취약점을 찾아 공격하기까지 하루가 채 걸리지 않는 ‘시간의 비대칭성’이 가장 큰 문제”라며 “사람의 속도로는 이를 감당할 수 없기에 AI가 AI를 막아야 하는 시대가 왔다”고 분석했다.

최 교수는 특히 제도적 변화의 필요성을 강조했다. 그는 “국가 보안은 국정원 관할인데 현재의 보고 및 조치 프로세스는 AI의 공격 속도를 따라갈 수 없다”며 “국정원의 권한 일부를 AI에게 이양해 AI가 스스로 판단하고 대처할 수 있도록 하는 정책적 결단이 필요하다”고 조언했다. 또 “신속한 보안 패치를 보장하는 폐쇄망과 클라우드 망을 동시에 활용하는 정교한 설계와 보안 프로세스 전반을 개편하는 총체적인 거버넌스 변화가 단기와 중장기 전략으로 나뉘어 실행돼야 한다”고 덧붙였다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지