[남도영 기자]

5일 서울 여의도 국회의원회관에서 열린 '시큐어코리아 2025: 대한민국을 방어하라' 콘퍼런스에서 유문선 한국해킹보안협회 회장이 인사말을 하고 있다. /사진=남도영 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>

한국의 사이버 안보에 비상등이 켜졌다. 중대한 침해사고 발생시 운영되는 정부 민관합동조사단이 올해만 네 차례 구성됐다. 고도화된 사이버 공격에 대기업도 예외 없이 표적이 되고 있는 가운데, 보안 역량이 부족한 지방·중소기업의 드러나지 않은 위협은 더 큰 것으로 보인다.

5일 서울 여의도 국회의원회관에서 열린 '시큐어코리아 2025: 대한민국을 방어하라' 콘퍼런스에서 최광기 과학기술정보통신부 사이버침해대응과장은 "2024년 한국인터넷진흥원(KISA) 침해사고 신고건수가 총 1887건이었는데 올해는 10월 말까지 1900건을 넘어섰고 연말까지 2400~2500건이 될 것으로 보인다"며 "중대한 침해사고의 경우 민관합동조사단을 운영하는 데 올해만 네 차례를 구성했다"고 말했다.

최근 통신, 금융, 유통, 공공 등 국민 생활과 밀접한 분야의 대규모 해킹 사고로 사이버 보안에 대한 경각심이 최고조에 달한 가운데, 이날 전문가들은 "보안은 더 이상 선택이 아닌 필수"라고 입을 모았다. 특히 AI 시대에는 사이버 보안에 대한 중요성이 더 부각될 것이란 전망이다.

유문선 한국해킹보안협회 회장은 "우리는 지금 AI 시대라는 혁신의 물결 속에서 새로운 기회와 동시에 새로운 위협을 마주하고 있다"며 "AI는 우리의 삶을 편리하게 만들고 산업의 효율을 극대화하지만 그 이면에는 더욱 정교하고 예측 불가능한 사이버 공격의 가능성이 도사리고 있다"고 말했다.

연이은 대형 보안 사고에 정보보호 제도 손본다

최근 국민 생활까지 위협하는 사이버 위협은 계속해서 고도화되고 있다. SK텔레콤에 소프트웨어(SW)를 납품하는 협력 업체로부터 악성코드가 침투한 사례에서 보듯 소프트웨어 공급망의 취약점을 노린 보안 위협이 확대되고 있다. 또 예스24, SGI서울보증 등의 랜섬웨어 감염사고로 국민 피해가 발생하기도 했다.

이 같은 연속적인 보안 사고로 인해 정보보호 제도의 실효성에 대한 의문이 제기되고 있다. 2024년 기준 침해사고 83%가 보안 역량이 취약한 지역 중소기업에서 발생하며 위험성을 드러냈다. 보안투자의 비용 취급과 보안 전문조직의 부족한 권한 등 기업의 전반적인 보안인식 부족도 문제로 꼽힌다.

이에 정부는 지난 10월 22일 관계 부처 합동으로 정보보호 종합대책을 마련했다. '국가적 해킹 예방과 대응력 강화'를 목표로 강화된 정보보호 관리체계 구축 소비자 중심의 신속 대응체계 구축 국가적 정보보호 기반 강화 범국가적 사이버안보 협력 강화 등의 내용을 담았다.

5일 서울 여의도 국회의원회관에서 열린 '시큐어코리아 2025: 대한민국을 방어하라' 콘퍼런스에서 최광기 과학기술정보통신부 사이버침해대응과장이 범부처 정보보호 종합대책에 대해 설명하고 있다. /사진=남도영 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>

최 과장은 "보안을 기업에서 더 이상 비용이 아닌 생과 사를 가를 수 있는 필수 투자로 인식할 수 있도록 대책을 마련했다"고 설명했다.

종합대책에 따라 정부는 국민이 다수 이용하는 공공·금융·통신 등 1600개 IT 시스템의 보안 취약점을 점검하고, IT 자산에 대한 식별·관리체계를 구축한다. ISMS, ISMS-P 등 보안인증 제도도 손본다. 또 주요 정보통신기반시설 지정을 확대하고, 부처별로 파편화된 해킹사고 조사과정을 체계화하는 내용도 담겼다.

최 과장은 "통신 3사에 대해 올해 불시 취약점 점검을 추진하고 있다"며 "보안인증 무용론에 대해 겸허하게 수용하고 실질적 인증제도가 될 수 있도록 현장 중심으로 전환을 추진 중"이라고 말했다.

또 "정보통신망법 개선을 통해 현장조사 권한을 확대하고 여러 제재 수단을 강화하는 법적 근거 마련이 논의되고 있다"며 "정보보호 공시 의무기업을 확대하고 정보보호최고책임자(CISO)의 권한을 강화하는 방안도 추진 중"이라고 말했다.

현실화된 AI 보안 위협..."국가적 대응 시급"

이 같은 사이버 위협은 디지털 인프라의 영향력이 커지는 AI 시대를 맞아 더 거세질 것으로 전망된다. AI로 인해 사이버 공격의 정교함, 속도와 규모가 전과는 비교할 수 없는 위협으로 다가올 것이란 전망이 나온다.

정현철 KISA 연구위원은 "생성형 AI가 나온지 3년 만에 이전과 이후 보안은 완전히 달라졌다"며 "공격과 방어 측면에서 완전히 새로운 패러다임으로 넘어갔다"고 말했다.

정 연구위원에 따르면 생성형 AI 등장으로 해킹지식이 없더라도 취약점 자동 탐지, 해킹도구 제작 등이 가능해졌고, 피싱, 보이스피싱, 딥페이크 등 맞춤형 사회공학적 공격 위험도 높아졌다. 특히 국가지원 해커그룹이 AI로 무장하고 언어장벽을 넝머 기존의 보안체계를 우회하거나 무력화할 수 있는 가능성이 커지고 있다.

5일 서울 여의도 국회의원회관에서 열린 '시큐어코리아 2025: 대한민국을 방어하라' 콘퍼런스에서 정현철 KISA 연구위원이 AI 보안에 대해 발표하고 있다. /사진=남도영 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>

정 연구위원은 "내부 데이터와 연결된 AI 에이전트가 확산될 경우 공격 표면과 보안 위험이 대폭 증가할 것"이라며 "보안 투자 선행 없이는 조직 리스크가 비약적으로 확대될 것"이라고 말했다.

이 같은 AI 보안에 대해 국가적 대응이 시급하다는 지적이다. 정 연구위원은 "글로벌 AI 서비스 제공 기업들은 AI 보안 기업을 인수합병하고 있으며 AI 보안 스타트업들에 대한 투자를 확대하고 있다"며 "미국 정부의 'AI 액션 플랜'에는 '시큐리티'라는 단어가 50번 넘게 나올 정도로 AI 보안이 혁신, 인프라, 국가안보 등 모든 핵심영역에 걸쳐 적용되는 필수 요소로 자리잡고 있다"고 말했다.

정 연구위원은 AI 보안 정책 기준 마련 AI 레드팀 운영 AI 취약점 발굴 및 공유 AI 보안인증 추진 AI 보안 기술·산업 육성 AI 기반 탐지·대응체계 고도화 등을 제안했다. 특히 정부가 AI 보안 시장의 마중물 역할을 수행하고, 소버린 AI 보안 기술을 확보해야 한다고 조언했다.

정 연구위원은 "해외 정책을 면밀히 분석해 국내에 맞는 AI 보안 정책이나 기준을 마련해야 할 것"이라며 "가이드라인, 표준 개발을 통해 기업들이 규제보단 자율적으로 AI 보안을 수행할 수 있는 기반을 마련해야 한다"고 말했다.

늘어나는 가상자산범죄..."대응 기술 개발해야"

최근 보안 위협이 가중되고 있는 분야 중 하나로 '가상자산'이 꼽힌다. 김기범 성균관대학교 교수는 "거래소를 해킹하거나 거래소를 사칭하는 등 가상자산을 범죄 대상으로 하거나 수단으로 활용하는 가상자산범죄가 확대되고 있다"며 "특히 가상자산의 등장으로 협박이나 공갈 범죄가 글로벌로 확장되고 있다"고 지적했다.

5일 서울 여의도 국회의원회관에서 열린 '시큐어코리아 2025: 대한민국을 방어하라' 콘퍼런스에서 김기범 성균관대학교 교수가 가상자산범죄에 대해 발표하고 있다. /사진=남도영 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>

김 교수는 가상자산이 계좌 없이 대가를 요구할 수 있다는 점에서 범죄에 악용되고 있다고 설명했다. 랜섬웨어로 데이터를 인질로 잡고 가상자산을 통해 대가를 요구하는 사례가 대표적이다. 2017년 4월부터 5년간 선고된 가상자산 관련 형사사건 5408건 중 사기범죄가 43.6%, 마약류 관리에 관한 법률 위한이 17.3%를 차지하기도 했다.

김 교수는 "랜섬웨어 지불액이 사상 최고치인 10억달러를 돌파했고 가상자산범죄 자금세탁도 증가하고 있다"며 "불법행위에 비트코인, 스테이블코인이 활용되고 있으며 추적이 어렵도록 가상자산 거래 내역을 믹스하는 서비스도 나왔다"고 말했다.

김 교수는 "가상자산 압수·수색에 대한 법제 개선과 국제공조수사 체계 마련이 필요하다"며 "가상자산 분석도구 국산화와 자금세탁 대응기술 개발, 가상자산 주소 데이터베이스 구축 등도 이뤄져야 할 것"이라고 말했다.

남도영 기자 hyun@techm.kr

<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>