[이데일리 윤정훈 기자]인공지능(AI)이 해커의 지능을 높이는 단계를 넘어, 취약점을 대량으로 찍어내는 ‘생산 도구’가 되면서 보안 패러다임이 급변하고 있다. 특히 2027년부터 국내 380여 개 공공기관의 모의해킹이 의무화됨에 따라, 전통적인 인력 중심 보안에서 벗어나 AI와 자동화 기술을 결합한 새로운 대응 전략이 시급하다는 제언이 나왔다.

◇AI가 촉발한 보안 속도전… “이제는 물량전 시대”

14일 서울 강남구 그랜드 인터컨티넨탈 파르나스에서 열린 ‘크리미널 IP 컨퍼런스 2026’에서 강병탁 AI스페라 대표와 김휘강 고려대 정보보호대학원 교수는 AI 시대의 보안 핵심 키워드로 ‘에이전틱 AI(Agentic AI)’와 ‘공격표면관리(ASM)’를 꼽았다.

강병탁 대표는 “과거의 ASM이 단순히 자산의 노출 여부를 확인하는 수준이었다면, 이제는 다크웹 등 위협 인텔리전스(TI)와 결합한 CTEM(지속적 위협 노출 관리) 단계로 진화했다”고 진단했다.

이어 “관제 로그 분석부터 티켓 생성까지 AI SOC(보안운영센터)가 수행하는 에이전틱 AI 시대가 도래했다”고 설명했다.

실제로 최근 보안 시장의 가장 큰 변화는 ‘속도’다. AI스페라의 공동창업자인 김휘강 교수는 “오픈AI의 미토스(Mitos) 등 강력한 AI 모델의 등장으로 해커는 하루에 수천 개의 취약점을 찾아내 공격을 날릴 수 있게 됐다”며 “사람이 한 땀 한 땀 수작업으로 진행하는 4주간의 컨설팅으로는 하루면 진단을 끝내는 AI의 속도와 물량을 따라갈 수 없다”고 지적했다.

◇2027년 공공 모의해킹 의무화… ‘제3자·실효성’이 관건

2027년부터 387개 공공 부문의 주요 시스템에 대해 외부 전문가를 활용한 모의해킹이 연 1회 의무화된다. 이는 단순 체크리스트 기반의 진단이 대규모 해킹 사고를 막지 못했다는 반성에서 비롯됐다.

김 교수는 “많은 기업이 10년 넘은 취약점이 방치된 자산을 보유하고 있으며, 내부망이라는 안일한 생각에 ‘방치된 자산’이 해커의 최적 진입 경로가 되고 있다”고 설명했다.

그는 공공기관들이 예산과 인력 부족을 겪는 상황에서 실질적인 보안 효과를 거두기 위해서는 △제3자 관점의 객관적 진단 △현실적인 침투 시나리오 구성 △자동화 도구의 적극 도입이 필수적이라고 했다.

늘어나는 공격과 규제 대응을 위해 김 교수가 제시한 해법은 ‘하이로우 믹스’ 전략이다. 이는 고성능 무기체계와 저비용 무기체계를 혼합 운용하는 군사 전략에서 차용한 개념이다.

김 교수는 “1단계로 ASM 기반의 상시 진단(CTEM) 체계를 갖추고, 2단계로 AI 에이전트와 API를 결합한 자동화된 모의해킹 서비스를 도입해야 한다”고 말했다.

특히 크리미널IP처럼 모든 기능을 API로 제공하는 솔루션을 활용하면, AI(LLM)와 결합해 회사 내부 취약점이 무엇이고 어떻게 해결해야 하는지를 자연어로 대화하며 즉각 대응할 수 있다는 설명이다.

AI 시대에는 모든 공격을 완벽히 막는 것이 사실상 불가능해짐에 따라 정책적 유연성이 필요하다는 목소리도 나왔다.

김 교수는 ‘성실 실패’ 개념을 들며, 기업이나 기관이 상시 취약점 진단과 모의해킹 등 최선의 노력을 다했어도 사고가 발생했을 경우, 이를 참작해 징벌적 과징금을 경감해주는 인센티브 제도가 뒷받침되어야 한다는 것이다.

강병탁 대표는 “이제 보안은 단순한 기술적 대응을 넘어 전략의 영역으로 들어섰다”며 “AI를 이용해 취약점을 식별하고 최적의 대응책을 실행하는 ‘에이전틱 보안’이 미래 모의해킹의 표준이 될 것”이라고 전망했다.