6일 서울 위플레이스 강남에서 열린 한국사이버안보학회 사이버 국가전략포럼 현장. 윤정현 국가안보전략연구원 부연구위원이 '사이버 공격과 데이터 안보'를 주제로 발표하고 있다.

[디지털데일리 김보민기자] 전 세계적으로 사이버 위협이 증가하고 있는 가운데, 한국 또한 국가 차원에서 보안 정책 패러다임을 전환해야 한다는 의견이 나왔다.

그 일환으로 '국가인공지능(AI)안보전략'을 구체화할 필요성이 대두됐다. 제로 트러스트(Zero Trust) 등 보안 트렌드를 적용해 정책을 세우는 것도 중요하지만, 전체 시스템을 개편하고 인프라를 확충하는 작업을 뒷받침해야 지속 가능한 안보 울타리를 세울 수 있다는 주장이다.

한국사이버안보학회는 6일 서울 위플레이스 강남에서 제7차 사이버 국가전략포럼을 열고 AI와 데이터 안보를 주제로 세션을 진행했다. 현장에는 윤정현 국가안보전략연구원 부연구위원, 유지연 상명대학교 교수, 김준연 소프트웨어정책연구소 박사가 발표자로 참석했다. 사이버 보안, 정보보호 연구, 글로벌 동향에 특화된 전문가들이다.

이들은 주요국과 마찬가지로 한국에도 사이버안보 시대가 도래했다고 입을 모았다. 특히 챗GPT가 등장한 이후 생성형 AI를 활용한 위협 수법이 고도화된 만큼, 신흥 안보에 대한 새로운 접근이 필요하다는 점에 동의했다.

유지연 교수는 최근 데이터 수집 관련 공격은 물론, 스케일링 및 중독 공격이 늘고 있다고 진단했다. 중독 공격이란 학습 데이터에 부정 데이터를 주입해, 학습 모델의 경계를 옮기는 방식을 뜻한다. 유 교수는 "(이러한 공격은) 데이터를 왜곡·분석하고 조작할 수 있는 시스템이 잘 이뤄져 있고 실제 서비스화되고 있다"며 "충분히 대응하고 있는지 고민이 필요하다"고 말했다.

AI의 특성을 이해하는 것도 중요한 상황이다. 기존 사이버 보안은 시스템에 대한 안정성이 있다는 전제로 운영이 되었지만, AI 기술이 적용되기 시작하면서 안정성보다는 자율성을 고려할 필요가 커졌다는 의미다.

유 교수는 AI 시스템을 '유기체'로 볼 수 있다며, 이 흐름에 맞춰 정책 패러다임을 바꿔야 한다고 강조했다. 그는 "지금까지 정보보안 정책 패러다임은 일단 인증, 평가, 보안 조치를 하면 일단락이 됐다고 생각하는 경향이 있었다"며 "AI 결과물이 적절한지, 위험 관리가 되고 있는지 등 지속 관리적인 체계가 새롭게 구축될 필요가 있다는 의미"라고 말했다.

그 일환으로 국가AI안보전략이 별도로 나올 필요가 있다고 강조했다. 현재 주요국은 별도 AI안보전략을 수립하지 않았더라도 AI 전략, 데이터 전략, 정보공유법, 정보수칙 및 법률 등 다양한 형태로 AI 안보를 추진할 수 있는 체계를 구축하고 있다.

자체 AI법을 제정하려는 움직임도 본격화되고 있다. 이달 유럽연합(EU)은 AI이 학습하는 데이터 및 학습 방법 등을 공개하도록 규정한 법안에 합의하기도 했다. 해당 법안은 늦어도 4월 본회의를 거쳐 최종 통과될 예정이다.

한국은 아직 AI법을 구체화하지는 못한 상황, 대신 제로 트러스트 등 보안 트렌드를 따라가거나 위협 대응에 초점을 맞추고 있다. 정부는 1일 사이버안보전략을 통해 AI 기술로 인한 새 안보위협에 대응하기 위해 원천 기술에 대한 연구·개발 예산 지원을 확대한다고 밝힌 바 있다. 다만 정부 방향성에 대한 거시적인 내용만 담고 있어, 실제 실행까지 추이를 지켜봐야 한다는 의견도 나온다.

한편 이날 현장에서는 사이버 공격 속 데이터 안보를 강화해야 한다는 의견도 나왔다. 윤정현 국가안보전략위원회 부연구위원은 "사이버 공격 위협이 데이터를 노리는 형태로 변하고 있다"라며 "한국적 상황에 맞는 데이터 안보 전략을 수립하고 데이터안보 기본법 제정, 사이버안보 인프라 확충 등의 실천 방안을 모색할 필요가 있다"라고 말했다.