미국 빅테크의 고성능 AI가 사이버보안 영역까지 빠르게 파고들 것이라는 우려가 나오자 정부가 국내 주요 보안업체 최고경영자(CEO)들을 긴급 소집했다. 앤스로픽의 최신 AI 모델 '미토스'가 인간 전문가가 놓친 취약점까지 찾아내며 충격을 주자, AI를 활용한 공격 가능성이 현실화되기 전에 대응 체계를 재정비하겠다는 취지다.
15일 정부와 보안업계에 따르면 과학기술정보통신부는 이날 오전 화이트해커를 보유한 국내 주요 보안기업 CEO들을 비공개로 불러 대응 방안을 논의한다. 전날 통신 3사·플랫폼 기업(네이버·카카오) 정보보호최고책임자(CISO)를 대상으로 긴급 점검회의를 연 데 이어, 하루 만에 민간 보안기업까지 범위를 확대한 것이다. 이날 오후에는 통신사·플랫폼 기업을 제외한 국내 주요 기업 CISO들도 소집한다. 정부가 총력 대응에 나선 것이다.
과기정통부가 화이트해커 역량을 갖춘 보안기업들을 우선 부른 것은 이번 사안의 핵심이 일반적 보안 관리가 아니라, AI 기반 취약점 탐지와 공격 시나리오 분석 등 고난도 실전 대응 역량에 있기 때문으로 풀이된다. 통신사·플랫폼 기업 대상 회의가 수요자 측 방어 태세를 점검하는 성격이었다면, 이번 회의는 실제로 취약점을 찾아내고 침투 테스트와 대응 전략 수립을 수행하는 민간 전문가 집단의 역량을 결집하는 데 초점을 맞췄다는 해석이다.
이번 회의는 앤스로픽과 오픈AI가 최근 선보인 고성능 AI 모델 '미토스'가 촉발했다. 미토스는 대규모 코드 분석과 취약점 탐지 능력을 앞세워 기존 화이트해커 수준을 뛰어넘는 성능을 보였다는 평가가 나온다. 인간 보안 전문가들이 장기간 수동 검토로도 찾지 못한 결함을 단시간에 포착했다는 점에서 업계 충격이 컸다. 이 같은 기술이 방어뿐 아니라 공격에도 활용될 수 있다는 게 문제다.
정부는 AI가 사이버 공격의 진입 장벽을 낮출 수 있다고 본다. 과거에는 숙련된 해커만 수행할 수 있었던 취약점 탐지와 공격 코드 작성이 AI를 통해 자동화될 경우, 보안 위협의 양과 속도가 동시에 증가할 수 있기 때문이다.
실제 업계에서는 "AI가 취약점을 찾는 속도를 사람이 따라가기 어려운 수준"이라는 평가가 나온다. 한 보안업체 관계자는 "이제는 공격도 AI, 방어도 AI로 대응해야 하는 단계에 들어섰다"며 "사람 중심의 기존 보안 체계만으로는 한계가 분명하다"고 말했다.
AI 보안 시장 주도권을 둘러싼 경쟁도 변수다. 글로벌 빅테크가 앞서가는 가운데 국내 기업들은 아직 초기 대응 단계에 머물러 있다. 일각에서는 AI 보안 역량 격차가 벌어질 경우 국가 단위 보안 리스크로 이어질 수 있다는 우려도 나온다.
정부는 이번 회의를 통해 AI 기반 공격 시나리오를 점검하고 민관 협력 대응 체계를 구체화할 것으로 보인다. 업계 관계자는 "이번 조치는 단순한 사전 점검이 아니라 AI 시대 보안 패러다임 전환을 염두에 둔 것"이라며 "AI가 보안을 강화하는 도구가 될지, 새로운 위협이 될지는 지금 대응에 달려 있다"고 말했다.
