[이데일리 안유리 기자] “단순 기술 문제가 아니라 ‘문화’를 바꿔야 되는 문제입니다.”
김승주 고려대 정보보호대학원 교수는 22일 AI가 공격툴로 진화하는 데 대한 대응책으로 ‘거버넌스 개편’을 제시했다. 앤스로픽의 보안 특화 AI ‘미토스(Mithos)’ 등장으로 공격과 방어 모두 AI 중심으로 재편되는 상황에서, 한국은 기술보다 의사결정 구조의 한계가 더 큰 리스크라는 진단이다.
그는 “AI 기술 경쟁력 자체보다 이를 얼마나 빠르게 적용하고 대응할 수 있는 조직 문화와 거버넌스가 핵심 변수”라고 강조했다.
고려대 정보보호대학원 김승주 교수
김 교수는 “이제 공격하는 쪽도 AI를 쓰고 방어하는 쪽도 AI를 쓰는 시대인데 시간적으로 공격자가 훨씬 더 유리하다”며 “공격자는 AI를 돌려 바로 공격하면 되지만, 방어자는 취약점을 발견해도 보고하고 예산을 확보하고 장비를 도입해야 한다”고 말했다.
그는 이러한 구조를 ‘시간의 비대칭성’이라고 규정했다.
특히 공공·금융 부문의 경직된 의사결정 구조를 가장 큰 문제로 꼽았다. 그는 “방어하는 측면에서는 보호 체계를 건너뛸 수 없고, 보안 담당자들한테 전권을 줘야하는데 보안 담당자의 권한 측면에서 가장 경직되어 있는 게 공공기관과 금융 분야”라고 지적했다.
이어 “민간은 사장이 결정하면 바로 실행할 수 있어 오히려 더 낫다”면서 “글래스윙 프로젝트에 참여하고 독자 파운데이션 모델 기반 기술을 확보하더라도, 지금의 보안 거버넌스 체계를 바꾸지 않으면 이를 빠르게 적용하기 어렵다”고 강조했다.
앤스로픽 로고(AFP/연합뉴스)
글로벌 협력과 독자 기술 확보를 병행해야 한다는 점도 짚었다. 그는 “글래스윙에 참여할 수 있다 하더라도 독자 AI 개발은 필요하다”며 “미국이 언제 정책을 바꿀지 모르기 때문”이라고 말했다. ‘글래스윙 프로젝트’는 미국 앤스로픽의 AI 모델 미토스와 관련해 일부 기업에만 제한적으로 기술 접근이 허용되는 폐쇄형 구조다.
실제로 미국 정부가 운영하는 취약점 정보 데이터베이스(CVE)는 2024~2025년 예산 논의 과정에서 서비스 중단 위기를 겪은 바 있다. 누구나 사용하는 핵심 보안 인프라이지만, 미국의 정책과 정치 변수에 영향을 받을 수 있다는 점이 확인된 사례다.
김 교수는 “성능이 미토스(Mithos)와 완전히 대등하지 않더라도 백업용으로 일정 수준 이상의 보안 특화 AI를 확보할 필요가 있다”며 “한국은 이미 독자 파운데이션 모델과 사이버 보안 기술력을 갖추고 있는 만큼, 두 요소가 결합되면 미토스에 버금가는 AI 개발도 불가능하지 않다”고 평가했다.
◇“AI 공격은 필연…결국 ‘누구의 AI냐’가 핵심”
다만 현재로서는 북한이 곧바로 미토스를 활용하기는 어렵다고 했다. 그는 “지금 미토스는 아직 오픈이 안 됐고, 글래스윙 프로젝트에 참여한 소수 기업에만 제한적으로 공개된 상태”라며 “외부에서 함부로 쓸 수 없게 해놨기 때문에 아직 북한이 사용할 수 있는 상황은 아니다”라고 말했다.
그럼에도 AI 기반 공격 자체는 불가피한 흐름이라고 봤다. 그는 “북한 등 해커가 AI를 활용해 적대 행위를 하는 것은 당연히 벌어질 일”이라며 “다만 미국이 개발한 AI가 그대로 악용될지는 단정할 수 없다”고 말했다.
또한 AI가 과거 암호 장비처럼 ‘이중 용도 기술’로 분류되며 접근이 제한될 가능성도 제기했다. 그는 “암호 기술처럼 좋은 데도, 나쁜 데도 쓰이는 기술은 수출 통제 대상이 된다”고 설명했다.
미·중 간 보안 특화 AI 경쟁 역시 이미 시작됐다는 진단이다. 그는 “중국에서도 보안 AI가 중요한 사업 요소가 될 수 있는 만큼 당연히 개발에 나설 것”이라며 “결국 어떤 AI를 누가 쓰느냐가 핵심 변수”라고 말했다.
