.png)
[이데일리 김현아 기자] 인공지능(AI)이 사이버 공격의 방식 자체를 바꾸면서 국내 보안 산업도 기존 체제로는 더 이상 버티기 어렵다는 경고가 나왔다.
화이트해커 기업인 티오리의 박세준 대표는 지난 10일 자신의 페이스북 글을 통해 “AI 에이전트가 자동으로 취약점을 찾고 공격하는 시대가 현실화되고 있다”며 국내 보안 산업의 구조적 변화 필요성을 강조했다.
그는 최근 배경훈 부총리 겸 과학기술정보통신부 장관이 주재한 간담회에서 논의된 내용을 바탕으로 ▲AI 기반 공격 확산 ▲국내 보안 솔루션 한계 ▲독자 AI 모델 필요성 ▲민관 공동 대응 전략 등을 공개적으로 언급했다.
박세준 대표는 세계 최고 권위의 해킹대회 ‘데프콘 CTF’에서 다수 우승하며 ‘국가대표급 화이트해커’로 불린다. 카네기멜론대 출신으로, AI 기반의 자동화된 보안 솔루션을 개발하고 보안 인재를 양성하는 사이버 보안 기업인 티오리를 이끌고 있다.
|
박 대표가 가장 강하게 경고한 부분은 AI 기반 공격 자동화다.
기존 사이버 공격은 해커의 시간·인력·기술 수준에 영향을 받았다. 하지만 최근 등장한 대규모언어모델(LLM)과 AI 에이전트는 취약점 탐색, 공격 코드 생성, 우회 경로 분석 등을 자동으로 수행하기 시작했다.
그는 “이전까지는 공격자 역시 리소스 한계가 있었지만 이제는 AI가 이를 대체하고 있다”며 “공격 비용이 사실상 0원 수준으로 수렴하는 방향으로 가고 있다”고 설명했다.
특히 AI가 코드 분석과 시스템 구조 이해를 빠르게 수행하면서 과거보다 훨씬 짧은 시간 안에 공격이 가능해지고 있다는 분석이다.
박 대표는 “지금까지는 작은 보안 허점이 큰 사고로 이어지지 않았더라도 앞으로는 상황이 달라질 수 있다”며 “AI 시대에는 작은 보안 수준 차이가 막대한 피해 규모 차이로 이어질 가능성이 커진다”고 말했다.
“보안 솔루션 자체가 공격 통로 되기도”
국내 보안 업계에 대한 평가도 상당히 직설적이었다.
박 대표는 실제 레드팀(모의 해킹)·펜테스트 경험을 바탕으로 “보안을 위해 설치한 솔루션이 오히려 공격자의 최고 권한 획득 통로가 되는 사례가 적지 않았다”고 밝혔다.
특히 EDR(엔드포인트 탐지·대응)과 보안 관제 영역에서 해외 솔루션 대비 국내 솔루션의 우회 난이도 차이가 존재한다고 지적했다.
그는 “지금까지는 공격자 리소스 부족으로 이런 문제가 상대적으로 덜 드러났지만 AI 기반 공격 시대에는 상황이 달라진다”며 “이제는 ‘적당히 괜찮은 수준’의 보안으로는 버티기 어렵다”고 말했다.
이어 “정말 단단한 보안 체계를 만들 수 있는 기술력과 투자, 단순히 인재 숫자를 늘리는 것으로는 안된다. 질 높은 인재 확보가 중요해지고 있다”고 강조했다.
|
박 대표는 간담회에서 논의된 이른바 ‘K-미토스(K-Mythos)’와 독자 파운데이션 모델(독파모)에 대해서도 의견을 밝혔다.
그는 독자 AI 파운데이션 모델의 핵심 이유로 ‘AI 주권(Sovereignty)’을 꼽았다.
즉 ▲누가 만들었는지 ▲어떤 데이터로 학습했는지 ▲어떤 방식으로 동작하는지 ▲필요할 때 통제·수정이 가능한지 등을 국가와 기업이 직접 이해하고 관리할 수 있어야 한다는 것이다.
특히 보안 영역에서는 AI 모델 내부 구조를 알 수 없는 ‘블랙박스’ 상태가 위험 요소가 될 수 있다는 설명이다.
예를 들어 해외 모델 의존도가 지나치게 높아질 경우 ▲데이터 유출 ▲정책 변화 ▲서비스 제한 ▲모델 접근 차단 등의 리스크가 발생할 수 있다. 국가 안보나 핵심 산업 보안 분야에서는 이런 문제가 더욱 민감해질 수 있다는 분석이다.
박 대표는 “독자 모델 확보는 단순 기술 경쟁이 아니라 산업·안보 차원의 문제”라고 설명했다.
“K-미토스, 단기간 추격은 현실적으로 어려워”
다만 그는 한국이 단기간 내 오픈AI(OpenAI)나 앤스로픽(Anthropic) 수준의 모델을 따라잡기는 쉽지 않다고 평가했다.
GPT-5.5나 미토스급 모델은 수십조 원 규모의 컴퓨팅 인프라와 GPU, 방대한 데이터, 세계 최고 수준 연구진이 장기간 투입돼 만들어졌기 때문이다.
특히 최신 AI 경쟁은 단순 모델 개발이 아니라 ▲초대형 GPU 클러스터 ▲데이터 정제 ▲추론 최적화 ▲에이전트 설계 ▲보안 학습 ▲장기 강화학습(RL) 등 복합 역량이 동시에 필요하다고 했다.
박 대표는 “독자 모델이 필요 없다는 의미가 아니라 현실적으로 긴 시간이 필요한 영역이라는 뜻”이라며 “단기 대응과 장기 전략을 병행해야 한다”고 말했다.
그는 ▲단기적으로는 현재 활용 가능한 글로벌 모델과 국내 시스템 역량을 결합해 대응력을 높이고 ▲장기적으로는 독자 모델과 데이터 주권 확보에 투자하는 ‘투트랙 전략’이 필요하다고 강조했다.
“AI는 아직 해커보다 수학자에 가깝다”
보안 특화 AI 모델 필요성에 대한 기술적 설명도 이어졌다.
박 대표는 실제 연구 사례를 언급하며 AI가 취약점을 찾는 과정에서 “수학적으로는 맞지만 실제 시스템 구조에서는 틀린 판단”을 내린 경우가 있었다고 소개했다.
예를 들어 AI가 코드 상의 연산 논리를 분석할 때 수학적 전이성(transitivity)은 올바르게 이해했지만, 실제 컴퓨터의 레지스터(register)나 메모리 구조 한계를 충분히 고려하지 못해 진짜 취약점을 놓쳤다는 설명이다.
그는 “현재 AI는 시스템 엔지니어보다는 수학자처럼 사고하는 경향이 있다”며 “실제 코드 실행 구조와 시스템 동작 방식에 대한 학습 강화가 필요하다”고 말했다.
다만 그는 “현재 시점에서는 보안 특화 모델 자체보다 AI의 전반적 지능 수준을 높이는 것이 우선순위에 더 가깝다”고 덧붙였다.
“혼자 못 버틴다”…민관 연합 ‘캐노피 프로젝트’
박 대표는 마지막으로 AI 시대 보안 위협은 개별 기업 혼자 대응하기 어렵다고 진단했다.
그는 다음 달 새로운 민관 협력 프로젝트인 ‘프로젝트 캐노피(Project Canopy)’를 준비 중이라고 밝혔다.
이 프로젝트는 기업·기관·보안 업계가 공동으로 AI 기반 공격 정보를 공유하고 방어 체계를 구축하는 것이 핵심이다.
박 대표는 “AI 기반 공격은 앞으로 쓰나미처럼 밀려올 가능성이 있다”며 “혼자 버티기보다 함께 대응할 수 있는 연합 구조가 중요하다”고 강조했다.
이어 “이제는 단순히 고민만 할 시간이 아니라 실제 행동과 투자가 필요한 단계”라며 “AI 시대의 사이버보안은 국가 경쟁력과 산업 생존 문제로 바뀌고 있다”고 말했다.
