최근 앤스로픽이 개발한 보안 특화 AI ‘클로드 미토스(Mythos)’는 보안 전문가들이 27년간 발견하지 못한 운영체제(OS)의 치명적 결함을 단숨에 찾아내며 전 세계에 충격을 던졌다. 오픈AI의 ‘GPT-5.4-사이버’ 역시 소스 코드 없이 실행 파일만으로 보안 허점을 짚어내는 가공할 능력을 선보였다. 본래 시스템 방어를 위한 ‘방패’로 고안된 이 모델들은 언제든 공격용 ‘창’으로 변모할 수 있다. 사이버 공격의 설계부터 침투, 실행까지 전 과정을 인간의 개입 없이 스스로 수행하는 이른바 ‘AI 괴물 해커’의 시대가 열린 것이다. 이는 기술적 진보를 넘어 국가의 금융·에너지·통신 등 핵심 인프라를 무력화할 수 있는 안보 위협이다. 과거 고도의 사이버 공격은 국가급 지원을 받는 소수 정예 해커 조직의 전유물이었지만 자율형 공격 AI는 이 진입장벽을 허물었다. 단돈 50달러의 비용으로 인간이 수개월 걸릴 ‘제로데이 취약점’ 탐색과 공격 체인 완성을 단 몇 분 만에 끝낸다. 이제 적대 세력이나 테러 집단이 최상급 해커 조직에 버금가는 해커 전문가가 될 수 있다. 인간 보안 전문가의 분석과 대응 속도로는 실시간으로 진화하는 AI 공격을 막아낼 수 없다. AI 해커는 시스템의 논리 결함을 엮어 연쇄 폭발시키는 ‘취약점 체이닝’ 기법을 구사한다. 중앙 통제실에서 이상 징후를 파악하기도 전에 국가 전력망이 마비되거나 금융 결제망에서 수조원이 증발하는 ‘자율적 마비’ 상황이 현실화될 수 있다. 이에 비해 국내 보안 환경은 취약하다. 최근 국내에서 발생한 금융·통신 보안 사고들은 AI의 고도화된 공격을 논하기조차 민망할 정도로 기초적인 부분에서 무너졌다. 네트워크 미분리, 퇴직자 인증키 방치 등 취약 상태에서 AI의 자동화된 탐색 능력이 가동될 경우 그 피해는 걷잡을 수 없이 커질 것이다. 특히 해킹을 정권 생존 수단으로 삼는 북한과 같은 적대 세력에게 AI 해커는 가장 매력적일 것임이 자명하다. 이제 사후 탐지 위주의 전통적인 보안 전략은 한계를 드러냈다. 이제 AI 사이버 보안은 IT 부서의 과제가 아닌 국가 생존이 걸린 국가 과제가 되었다. 보안체계를 근본적으로 혁신하는 안보 패러다임의 대전환이 필요하다. 방어의 철학을 사후 대응에서 ‘선제적 격리와 무해화’로 즉시 전환해야 한다. 정부와 정보통신 진흥기관의 노력이 AI의 ‘확산과 활용’에만 쏠려 있는 것은 아닌지 냉정히 돌아봐야 한다. 먼저 ‘제로 트러스트(Zero Trust)’ 체계의 전면 도입이다. ‘아무것도 믿지 말라’는 원칙하에 격리(Isolate), 무해화(Disarm), 최소화(Reduction) 전략을 실행해야 한다. 공격자가 침투하더라도 정보를 탈취하거나 확산할 수 없도록 공격 표면 자체를 구조적으로 지워버려야 한다. 다음은 ‘AI 방패’를 통한 방어 자동화 인프라 구축이다. AI의 공격은 오직 AI로만 막을 수 있다. 취약점을 발견하는 즉시 실시간으로 방어 코드를 생성하고 패치하는 ‘자율 방어 인프라’를 국가적 차원에서 구축해야 한다. 민관 합동으로 적의 AI 공격을 실시간 탐지·차단하는 ‘AI 방어 자동화’ 체계를 마련하고 이상 거래 시 즉각 차단하는 ‘사이버 서킷브레이커’ 도입도 검토해야 한다. 글로벌 보안 협력체계 참여와 외교적 역량 강화가 필요하다. AI 보안기술은 이제 전략 자산이자 권력이 되었다. 우리 정부와 기업들도 이러한 최상위 글로벌 정보 공유망에 합류할 수 있도록 기술 동맹과 외교적 채널을 총동원해야 한다. AI 시대의 보안기술 육성은 산업 진흥만큼이나 시급한 국가적 과제다. 국가 안보실을 중심으로 범정부 차원의 ‘AI 사이버 안보 컨트롤타워’를 강화하고 보안 기준 미달 기업에 대한 엄중한 징벌 체계와 함께 보안 전문가 육성에 박차를 가해야 한다. 아무것도 믿지 않는 ‘제로 트러스트’의 실천만이 다가오는 AI 사이버 전쟁에서 대한민국을 지키는 가장 강력한 시작점이 될 것이다((재)한국디지털융합진흥원 원장 석호익 배). |