“전문 해커가 수작업으로 해도 며칠 걸릴 것”정부, 5월 말~6월 초 AI 보안 대응방향 공개 예정
  • ▲ 최우혁 정보보호네트워크정책실장이 8일 오후 간담회 관련해 기자들의 질문에 답을 하고 있는 모습. ⓒ곽예지 기자
    ▲ 최우혁 정보보호네트워크정책실장이 8일 오후 간담회 관련해 기자들의 질문에 답을 하고 있는 모습. ⓒ곽예지 기자
    글로벌 인공지능(AI) 기업들의 고성능 AI 모델이 사이버보안 위협의 새로운 변수로 떠오르면서 정부가 대응 체계 마련에 본격 착수했다. 정부는 최근 최신 AI 모델을 활용한 보안 점검 과정에서 실제 기업 서비스의 취약점을 단시간 내 찾아낸 사례를 공개하고, AI 기반 사이버공격 가능성에 대비한 중장기 대응 전략 마련에 나섰다. 이르면 5월 말 AI 보안 대응 방향과 제도·예산 추진 계획 등을 공개할 예정이다.

    과학기술정보통신부는 8일 글로벌 AI 기업들의 사이버보안 프로젝트 대응방안을 논의하기 위해 산학연 전문가 간담회를 개최했다. 이날 회의에는 SK텔레콤, 업스테이지, 모티프테크놀로지스 등 독자 파운데이션 모델 개발 기업과 주요 AI 기업, 정보보호 학계·산업계 전문가, 기업 최고정보보호책임자(CISO) 등이 참석했다.

    최근 앤트로픽의 ‘미토스(Mithos)’와 오픈AI의 고성능 AI 모델 프로젝트 등이 주목받으면서 AI를 활용한 사이버공격 가능성에 대한 우려도 커지고 있다. 정부는 이에 대응해 지난달 전국 3만여개 기업 CISO를 대상으로 보안 대비태세 점검을 요청했고, 이어 ‘AI 기반 사이버공격 대비 기업 대응 요령 및 CEO 행동 수칙’을 배포한 바 있다.

    최우영 과기정통부 정보보호네트워크정책실장은 이날 오후 백브리핑에서 “오늘 회의는 단순히 CISO나 CEO를 대상으로 한 단기 대응 방법론을 제시하는 수준이 아니라 AI발 사이버 공격 가능성이 높아지는 상황에서 중장기적이고 체계적인 대응 방안을 논의하기 위한 자리”라며 “AI 기업들을 포함해 약 2시간 가까이 근본적인 대응 방안을 논의했다”고 말했다.

    ◇“전문 해커 며칠 걸릴 작업, AI는 10분 만에”

    이날 회의에서는 실제 AI 기반 침투 테스트 사례도 공유됐다. 정부는 특정 기업의 동의를 받아 최신 AI 모델을 활용한 보안 점검을 진행했고, 총 7건의 취약점을 발견했다고 밝혔다.

    최우혁 실장은 “패스워드를 모르더라도 AI가 새로운 패스워드를 생성해서 접근 가능한 취약점을 찾아내는 과정을 확인했다”며 “실제로 새로운 패스워드를 가지고 뚫은 사례가 있었고, 기업 동의를 받고 KISA가 검증한 사례를 국회에서도 설명한 바 있다”고 말했다. 

    특히 AI 활용 능력에 따라 공격 성공 수준 차이가 컸다는 설명이다. 최 실장은 "국내 기업 1곳과 협의를 거쳐 앤트로픽의 '클로드 오푸스 4.7' 모델을 활용한 다양한 시나리오 공격을 실시한 결과 실제로 7건의 취약점이 발견됐다"며 “전문 해커가 수작업으로 하면 며칠이 걸리는 작업을 10여 분 만에 찾아냈다”고 설명했다. 

    ◇“AI 보안주권 필요” … 독자 AI·제로트러스트 논의

    간담회에서는 국내 AI 보안 역량 확보와 ‘AI 보안주권’ 필요성도 주요 화두로 떠올랐다. 전문가들은 미국 외 국가에서도 미토스와 유사한 AI 모델 경쟁이 확산될 가능성이 있는 만큼 독자 AI 경쟁력 확보가 필요하다는 데 공감대를 형성했다.

    최 실장은 “우리나라처럼 독자 파운데이션 모델을 추진하는 국가는 많지 않다”며 “독자 AI 모델을 어떻게 보안 분야에 활용할 것인지에 대한 검토 필요성에 공감대가 있었다”고 말했다. 다만 “정부가 독자 AI 기반 보안 특화 모델을 만들겠다고 결정한 단계는 아니며 여러 가능성을 열어두고 검토 중”이라고 설명했다.

    정부와 전문가들은 AI 시대에는 기존 정보보호 체계만으로 대응하기 어렵다는 점에도 공감했다. 특히 국내 기업들이 망분리와 레거시 시스템 의존도가 높은 만큼 취약점 발생 시 신속한 패치와 복구 체계 마련이 중요하다는 의견이 나왔다.

    일부 전문가들은 클라우드 기반 SaaS 활용 확대가 빠른 패치 적용에 도움이 될 수 있다는 의견을 제시했고, 화이트해커의 자유로운 모의 침투를 제도적으로 허용해야 한다는 주장도 나왔다. 이에 대해 정부는 관련 시범사업과 제도 도입 검토를 진행 중이라고 설명했다.

    최 실장은 “AI 시대에는 어디서 어떤 공격이 들어올지 예측하기 어렵기 때문에 얼마나 빠르게 감지하고 대응하고 복구할 수 있는지가 중요하다”며 “방어 실패 책임만 따질 것이 아니라 복구 전략이 제대로 마련돼 있는지 점검하는 방향으로 보안 문화와 정책이 바뀌어야 한다는 의견도 많이 나왔다”고 말했다.

    정부는 현재 앤트로픽이 추진 중인 글로벌 보안 협력 프로젝트 ‘글래스윙(Glasswing)’ 참여 여부를 두고도 협의를 이어가고 있다.

    최 실장은 “글래스윙 참여에 대해서는 앤트로픽과 계속 협의 중이라는 점까지만 말씀드릴 수 있다”며 “대한민국 정보보호를 책임지는 입장에서 국내 기업 보안 수준을 높일 수 있다면 어떤 프로젝트든 적극적으로 노력해야 한다는 차원”이라고 설명했다.

    정부는 조만간 김진수 한국정보보호산업협회 회장의 건의에 따라 정보보호 산업계와 추가 간담회를 열고 현장의 애로사항과 대응 방향을 추가로 논의할 계획이다. 

    오는 11일 예정된 앤트로픽 측과의 면담 결과와 산업계 의견 등을 종합해 이르면 5월 말~6월 초 AI 기반 사이버위협 대응 방향을 공개할 예정이다. 해당 대책에는 AI 보안 전문 인력 양성 방안과 내년도 예산 사업, 하반기 국회 일정에 맞춘 법·제도 정비 방향 등이 포함될 전망이다.