AI 시대 보안, ‘프라이버시’ 넘어 ‘생명’과 ‘복원력’의 시대로

[산업일보]
AI 기술의 전산업에 걸친 학산으로 사이버 위협의 패러다임도 변화하고 있다. 전문가들은 보안을 단순 예방이 아닌, 사고 발생을 전제로 한 ‘복원력(Cyber Resilience)’ 관점에서 재설계해야 한다고 강조했다.

23일 서울 여의도 국회의원회관에서 열린 ‘WACON 사이버 보안성 강화 컨퍼런스’에서는 정책·학계 전문가들이 AI 시대 새로운 보안 전략을 논의했다.


최영진 김앤장 법률사무소 고문(전 개인정보보호위원회 부위원장)은 사이버 보안의 가치가 기존 ‘프라이버시 보호’를 넘어 국민의 생명과 안전을 지키는 안보 문제로 확장됐다고 진단했다. 그는 “과거에는 개인정보 유출과 같은 기밀성 침해가 중심이었다면, 이제는 시스템 마비를 초래하는 가용성과 무결성 위협이 더 치명적”이라며 “보안 사고는 물리적 세계의 안전과 직결된다”고 강조했다.

민무홍 성균관대학교 교수 역시 최근 잇따른 대형 보안 사고를 언급하며 ‘보안 안전지대’가 사라졌음을 경고했다. 실제로 올해 한 해 동안만 GS리테일, SK텔레콤, YES24, 롯데카드, 쿠팡 등 업종을 가리지 않고 대규모 개인정보 유출 사고가 발생했다.

그는 “사고가 발생하지 않기를 기대하는 접근은 더 이상 유효하지 않다”며 “언제든 사고가 발생할 수 있다는 전제 아래 대응 체계를 갖춰야 한다”고 말했다.

최 고문은 특히 올해 발생한 주요 해킹 사고의 근본 원인이 고도의 기술적 결함보다는 관리 부실에 따른 인재(人災)였다는 점을 꼬집었다. 퇴사자 계정 관리 미흡, 보안 패치 누락, 장기 미사용 자산 방치 등 기본 수칙을 소홀히 한 사례가 대부분이라는 설명이다. 메신저를 통한 사칭 범죄 등 사회공학적 공격이 성행하며 기술적 대응과 함께 임직원 교육과 관리 체계 정비의 중요성도 커지고 있다고 덧붙였다.

이와 관련해 정부와 국회도 기업 경영진의 책임을 강화하는 방향으로 제도 개편을 추진 중이다. 개인정보보호위원회(이하 개보위)는 올해 9월 ‘개인정보 안전관리 체계 강화 방안’을 발표하고, 2026년 상반기 관련 법 개정을 추진한다는 로드맵을 제시했다. 개보위는 개인정보 유출 사고의 최종 책임자를 CEO로 명문화하고, 대규모 개인정보 처리자의 경우 CPO 임명 시 이사회 의결과 정기 보고를 의무화할 방침이다.

제재 수위도 높아지고 있다. 국회에 계류 중인 개인정보보호법 개정안에는 고의적 유출 시 과징금을 매출액의 최대 10%까지 부과하는 내용이 담겼다. 범정부 정보보호 종합대책에 따라 사고 지연 신고에 대한 제재도 강화되고 있다.

민 교수는 이러한 위기 상황의 해법으로 ‘사이버 복원력’ 확보를 제시했다. 그는 “보안이 침입을 막는 개념이라면, 복원력은 사고 이후에도 핵심 기능을 유지하고 신속히 회복하는 능력”이라며 “비즈니스 지속성을 좌우하는 핵심 요소”라고 설명했다. 데이터센터 화재나 국가 인프라 장애 사례를 언급하며 물리적 재난까지 고려한 복구 체계가 필요하다고도 강조했다.

한편, AI 기술의 양면성도 새로운 변수로 떠올랐다. AI는 해킹 자동화와 대규모 공격을 가속하는 동시에, 지능형 탐지와 위협 분석을 통해 방어 역량을 강화하는 수단이 될 수 있다는 것이다.

민 교수는 “사고 시 가장 현실적인 안전장치는 결국 백업”이라며 백업 체계 구축의 중요성을 강조했고, 최 고문은 외부 위협 인텔리전스를 적극 활용해 공격자 관점에서 보안과 복구 전략을 재점검해야 한다고 제언했다.