콘텐츠로 이동

〈정책 노트〉 AI로 지키는 보안과 데이터 주권

“AI 시대에는 정보유출도, 해킹도 막기 어렵지 않을까요?”

이 질문에 대한 정부의 대응은 크게 세 축으로 나뉩니다. 첫째, 공격 속도가 빨라진 만큼 방어도 AI를 활용해 빨라지게 하는 축입니다. 둘째,1,600개의 핵심 시스템부터 직접 점검하는 축입니다. 셋째, 데이터 주권을 지키기 위해 보안 인재를 양성하고 국제 협력을 확대하는 축입니다. 앞에서 살펴본 늦은 밤의 결제 알림 이야기와 화이트해커 청년들의 모습이 실제 정책에서는 어떻게 이어지는지 정리해 보겠습니다.

레드팀, 에이전트 보안, 위협 공유

정부는 AI 시대의 사이버 공격에 대응하기 위해 세 가지 AI 보안 과제를 중심으로 대응 체계를 구축하고 있습니다.

첫째는 AI 레드팀입니다. 공격자 입장에서 AI 시스템과 주요 정보 인프라를 미리 점검하여 취약점을 찾아내는 모의 공격 체계입니다.

둘째는 AI 에이전트 보안 모델입니다. 앞으로 등장할 차세대 AI는 사람의 지시를 기다리지 않고 스스로 판단하여 행동하는 방향으로 발전할 가능성이 큽니다. 이에 대비하여 설계 단계부터 안전 장치를 마련하는 연구와 정책이 함께 추진되고 있습니다.

셋째는 AI보안위협 공유 체계입니다. 화이트해커와 연구기관, 기업, 관계 기관이 취약점을 신속하게 공유해 한 곳에서 발견된 위험이 다른 곳의 방어에도 곧바로 활용될 수 있도록 하는 운영 체계입니다.

세 정책 모두 같은 문제의식에서 출발합니다. AI로 인해 공격이 빨라진 만큼 방어도 AI로 빨라져야 한다는 것입니다. 다만 최종 판단과 책임은 사람에게 남겨 둔다는 것이 기본 원칙입니다. 앞에서 언급한 ‘AI가 만든 위험은 결국 AI로 막아야 합니다’라는 문장이 바로 이 정책의 출발점입니다.

1,600개 핵심 시스템부터 점검하다

정부는 2025년 6개 부처와 국가안보실이 참여한 범부처 정보보호 종합대책을 마련하고 국민 생활과 밀접하게 관련된 핵심 인프라에 대한 점검을 확대했습니다.

우선 통신, 금융. 공공서비스 등 약 1,600개 핵심 시스템을 대상으로 보안 점검을 실시했습니다. 단순히 서류만으로 확인한 것이 아니라 실제 공격 상황을 가정한 모의 침투와 취약점 점검을 함께 진행했습니다. 특히 통신 분야는 더욱 엄격하게 살폈습니다. 휴대전화 한 통이 멈추면 약속도, 송금도, 부모님 안부 전화도 함께 멈추기 때문입니다. 같은 맥락에서 정보보호최고책임자(CISO) 제도도 강화되었습니다. 일정 규모 이상의 정보통신 서비스 사업자가 정보보호 책임자를 지정하도록 함으로써 보안을 기술 부서만의 과제가 아니라 기업 경영의 핵심 의사결정 영역으로 끌어올린 제도입니다.

기업의 보안 투자를 보여 주는 정보보호 공시

기업이 정보보호에 얼마나 투자하고 있는지 공개하는 제도가 정보보호 공시입니다. 최근 의무 공시 대상 기업의 범위가 약 666개에서 약 2,700개로 확대됐습니다. 이용자 입장에서 서비스를 선택할 때 해당 기업이 정보보호에 얼마나 투자하고 있는지 함께 확인할 수 있게 된 셈입니다. 기업이 정보보호를 비용이 아닌 책임과 신뢰 문제로 바라보도록 만드는 장치이기도 합니다.

AI 보안 평가와 국제 협력

데이터 주권은 국내 정책만으로 해결할 수 있는 과제가 아닙니다. AI 기술이 전 세계적으로 움직이는 만큼 보안 협력 역시 국제적 차원에서 이루어져야 합니다. 이와 관련하여 정부는 크게 두 방향에서 협력을 추진하고 있습니다.

첫 번째는 AI 모델 보안 평가와 공동 연구입니다. 2026년 5월에 미국 AI 기업인 앤트로픽과 협력 간담회(글래스윙Glasswing 프로젝트)를 진행했고 여기서 AI 모델의 안전성과 사이버 보안 위험을 함께 평가하는 공동 연구가 시작됐습니다. 해외 연구기관들과도 평가 기준과 연구 결과를 공유하며 국제 협력 체계를 확대하고 있습니다.

두 번째는 보안 인재 양성입니다. 미국 데프콘 CTF에서 우리나라 하이트해커들이 한·미·캐 연합팀(MMM)의 핵심 멤버로 활약하며 세계 최고 수준의 역량을 보여주고 있습니다. 정부는 정보보호특성화대학과 융합보안대학원을 중심으로 전문 인력을 양성하고 있으며 지역의 전략 산업과 연계한 보안 인재 허브도 함께 확대하고 있습니다.

보이스피싱 방지기술과 양자내성암호

가까운 일상의 문턱과 더 먼 미래의 영역에서도 보안 대응은 계속되고 있습니다. 정부는 먼저 보이스피싱 대응에서 단말기 제조사, 이동통신사, 플랫폼 사업자와 협력해 기술 기반의 차단망을 넓히고 있습니다. 단말기와 통신사 3곳의 전화 앱에서 탐지 기능을 제공하고 있으며 안드로이드폰에서는 강화된 보안 프로그램(EFP)을 적용하여 악성 앱 설치를 자동 차단하고 있습니다.

한편 양자내성암호Post-Quantum Cryptography: PQC라는 먼 미래를 대비하는 과제도 있습니다. 양자컴퓨터가 본격적으로 활용되면 현재의 암호 체계 상당수가 안전하지 않을 수 있다는 전망이 있습니다. 이에 정부는 양자컴퓨터 환경에서도 안전성을 유지할 수 있는 새로운 암호 체계로 단계적 전환을 추진하고 있습니다. 통신, 금융, 공공기관은 물론 자율주행차, 드론, 스마트공장과 같은 차세대 AI 시스템에도 이 기술이 적용될 예정입니다. 앞에서 언급한 ‘10년 뒤에 필요한 자물쇠를 지금부터 미리 준비하는 일’이 바로 이 보안 과제를 설명한 말입니다.

국내 기준으로 세우는 한국형 AI 보안망

AI 시대에는 단순히 기술을 사용하는 것만으로는 충분하지 않습니다. 우리의 산업과 데이터가 어디에서 어떤 기준으로 누구의 책임하에 관리되는지를 우리 스스로 결정할 수 있어야 합니다. 이를 위해 정부는 AI 보안 체계와 데이터 주권을 함께 강화하고 있습니다. AI 기본법의 투명성 확보 의무, 고영향 AI 안전성 평가, 청소년 보호, 선거 대응, 금융 안전망 구축 역시 모두 같은 목표를 향하고 있습니다.

류제명 제2차관의 2025년 정보보호 정책 기고문(AI 시대를 지키는 모두의 정보보호, 서울신문, 2025. 07. 22.)에는 한국형 AI 보안 체계와 관련하여 다음과 같는 내용이 강조되어 있습니다.

“AI가 창출하는 가치와 혁신은 견고한 정보보호 없이 지속될 수 없다”