이재명 정부, 35.3조 역대 최대 R&D 예산…”사이버보안 없는 R&D는 국가 재앙 불러”

“초격차” 기술은 보안 내재화가 없다면 언제든 무력화될 수 있어

국회 심의 과정에서 각 분야별 최소 5% 이상을 사이버보안 예산으로 의무 배정해야

이재명 정부가 출범 이후 첫 연구개발(R&D) 예산안을 확정했다. 과학기술정보통신부는 8월 22일 대통령 주재 국가과학기술자문회의 전원회의에서 2026년도 국가연구개발사업 예산 배분·조정안을 심의·의결했다고 밝혔다. 총 규모는 35.3조 원으로 역대 최대다. 정부는 이를 통해 “기술주도 성장”과 “모두의 성장”을 실현하겠다고 내세웠다.

그러나 사이버보안 관점에서 보면 각 분야별 투자 방향은 구체적으로 제시되었음에도 불구하고, 정보보호·사이버보안에 대한 별도 항목은 보이지 않는다. 모든 산업과 연구가 디지털화되는 현실에서 보안이 빠진 투자는 곧바로 국가 위험으로 이어질 수 있다.

다음은 각 분야별 예산안과 분야별로 투자가 필요한 보안 분야를 살펴봤다.

■인공지능(2.3조 원, +106.1%): AI 보안·안전성 체계가 필수

인공지능 분야에는 2.3조 원이 배정되며 전년 대비 106.1% 늘어났다. 정부는 범용 인공지능(AGI), 경량·저전력 AI, 물리 인공지능 등 차세대 기술에 집중 투자하고, GPU·NPU 인프라와 데이터센터 간 고속 네트워크를 구축해 ‘AI 고속도로’를 실현한다는 계획이다. 또한 연구·산업·공공 전반에 AI를 내재화하는 것을 목표로 하고 있다.

그러나 AI 기술이 사회 전반에 확산될수록 ▲데이터 오염(Data Poisoning) ▲모델 도용 및 역공학(Model Stealing) ▲프롬프트 주입 공격 ▲생성형 AI의 허위 출력(Hallucination) 같은 보안 문제가 현실적 위험으로 떠오른다. 이를 막기 위해서는 AI 보안 표준화 연구, 안전성 평가센터 설립, 데이터셋 출처 검증 체계(SBOM for Data), 프라이버시 보호 기술(PETs) 등에 별도의 예산이 배정되어야 한다. AI 인프라 확대와 함께 AI 레드팀 훈련센터를 운영해 실제 공격 시나리오 기반 대응 능력을 길러야 한다고 전문가들은 지적한다.

■에너지(2.6조 원, +19.1%): 스마트그리드 보안 없이는 위험한 전환

에너지 분야에는 2.6조 원이 투입되며, 초고효율 태양전지와 대형 풍력 시스템, 장주기 에너지저장장치(ESS), 소형모듈원자로(SMR) 등 차세대 에너지 기술 개발에 집중된다. 특히 AI 기반 에너지 관리시스템(EMS)과 차세대 전력망 구축으로 재생에너지 확대에 따른 변동성을 해결한다는 전략이다.

하지만 에너지 인프라는 사이버 공격의 최고의 표적이다. 최근 해외에서는 전력망을 겨냥한 랜섬웨어와 원격제어 악용 사례가 늘고 있다. 따라서 ▲SCADA·EMS 통신 암호화 및 인증 ▲ICS(산업제어시스템) 보안 표준(IEC 62443) 적용 ▲분산형 전력망 제로트러스트 보안 ▲ESS 원격제어 시스템의 펌웨어 무결성 검증 ▲양자내성암호(PQC)를 이용한 차세대 통신망 구축이 필수적이다. 연구개발 예산은 단순한 효율 개선이 아니라, 전력 인프라를 사이버 재난으로부터 지키는 방어체계 구축에도 배정되어야 한다.

■전략기술(8.5조 원, +29.9%): 공급망 보안과 PQC 전환 동반돼야

전략기술 분야에는 8.5조 원이 배정된다. 양자컴퓨팅과 합성생물학 같은 원천기술 선점이 강조되며, AI 반도체와 양자내성암호(PQC) 등 국가 안보 및 공급망 핵심 기술의 내재화가 추진된다. 자율주행과 휴머노이드 로봇 등은 단기간 상용화가 가능한 기술로 실증 개발이 확대될 예정이다.

그러나 전략기술의 가치가 커질수록 공급망 취약점이 국가적 리스크가 된다. ▲반도체·펌웨어·소프트웨어를 아우르는 SBOM(Software Bill of Materials) 관리 체계 ▲반도체 칩의 보안 부팅(Secure Boot) 및 TEE(Trusted Execution Environment) ▲양자 내성암호 전환 테스트베드 구축은 전략기술 연구와 반드시 연계돼야 한다. 또한 자율주행차·휴머노이드 로봇은 물리적 안전성만이 아니라 사이버보안 인증(ISO/SAE 21434, UNECE WP.29)을 병행해야 한다. “초격차” 기술은 보안 내재화가 없다면 언제든 무력화될 수 있다.

■방위산업(3.9조 원, +25.3%): 전자전과 사이버전에 대비한 체계적 투자 필요

방위산업에는 3.9조 원이 투자된다. K-9 자주포와 천궁 등 기존 무기의 성능을 고도화하고, KF-21 전투기와 첨단 항공엔진 개발을 강화한다. 또한 AI·양자 기술을 국방에 접목하고 전자전 능력도 강화하며, 중소·스타트업 방산 기업을 육성하는 전략도 포함됐다.

하지만 현대 전장은 사이버·전자전이 핵심이다. 따라서 ▲무기체계 소프트웨어 개발의 DevSecOps 의무화 ▲무기체계 SBOM 관리 및 실시간 취약점 대응 ▲전술 데이터링크·위성통신의 암호체계 고도화 ▲무인기·드론의 GPS 스푸핑·재밍 방어 기술 연구가 필수다. 또한 사이버전 실험실을 마련해 실사격·실비행 시험에 사이버 공격 모의훈련을 포함해야 한다. 방산 기술 투자에 사이버보안 예산이 빠진다면 국방력 강화는 반쪽짜리에 불과하다.

■중소벤처(3.4조 원, +39.3%): 보안 인증 없이는 성장도 없다

중소벤처 분야에는 3.4조 원이 배정된다. 민간투자 연계형과 경쟁보육형 R&D 지원이 확대되며, 대학과 출연연의 기술 사업화를 돕고 실험실 창업 이후 성장을 지원한다. 아울러 공공·민간 수요에 기반한 혁신조달·구매연계형 연구개발을 확대해 기업들이 초기 실적을 확보할 수 있도록 돕는 것이 목표다.

하지만 스타트업과 중소기업이 글로벌 시장 진출에 실패하는 가장 큰 원인 중 하나는 보안 인증 부재다. ISMS, ISO 27001, CSA STAR 같은 국제 보안 인증이 없으면 공공조달이나 글로벌 B2B 계약에서 배제된다. 따라서 정부 지원금에는 보안 내재화(Security by Design) 요건, SBOM 작성 및 취약점 공개 정책(VDP), 개인정보 보호 설계 같은 조건이 반드시 포함돼야 한다. 보안이 기업 생존과 직결되는 만큼, 지원 정책에서 빠지면 안 된다.

■기초연구(3.4조 원, +14.6%): 장기적 보안 연구 과제 확대 필요

정부는 위축된 기초연구 생태계를 복원하기 위해 개인기초 연구과제 수를 ’23년 수준 이상(1만 5천여 건)으로 확대하고, 폐지되었던 기본연구를 다시 부활시켰다. 또한 단기 성과 중심의 연구 관행을 개선하기 위해 연구 기간을 신진연구 1년에서 3년(2+1), 핵심연구 3년에서 5년(3+2)으로 연장했다. 전임교원뿐 아니라 비전임 교원까지 과제 참여를 확대하여 연구의 다양성과 안정성을 강화하겠다는 방침도 포함됐다.

이처럼 정부는 기초연구의 양적 복원과 제도적 안정성 확보를 강조했지만, 사이버보안 기초연구에 대한 명시적 투자 계획은 보이지 않는다. 특히 보안 기술은 장기간의 축적이 필요한 분야라는 점에서 기초연구에 배정되는 예산이 무엇보다 중요하다.

기초연구 단계에서부터 암호학·프라이버시 보호·형식 검증·AI 보안 같은 과제를 ‘전략 연구축’으로 지정하고, 장기과제로 꾸준히 지원해야 한다. 단기 성과 중심의 예산 배분 구조만으로는 사이버보안 연구가 소외될 수밖에 없다.

■출연기관(4.0조 원, +17.1%): 국가 사이버보안 전략 연구 강화 시급

출연기관 분야에는 4.0조 원이 배정됐다. 이는 전년 대비 17.1% 증가한 규모로, 국가적 임무 중심의 중장기·대형 연구를 수행하는 출연연이 안정적으로 연구를 이어갈 수 있도록 지원하기 위한 것이다.

정부는 무엇보다도 연구과제 수주를 통해 인건비를 확보하는 PBS(Project-Based System) 제도를 단계적으로 폐지하겠다고 밝혔다. 이에 따라 연구자들이 과제 수주 경쟁에 몰두하지 않고 연구에만 전념할 수 있도록, 매년 종료되는 정부수탁과제 규모를 기관 출연금으로 재배분해 안정적인 인건비 구조를 마련한다는 방침이다. 2026년에는 그 첫걸음으로 약 0.5조 원 규모의 전략연구사업을 신설해 출연연의 국가 임무 중심 연구를 뒷받침한다. 또한 연구성과와 직접 연계되는 인센티브 제도를 신설해 최우수 연구자들이 자부심을 갖고 성과를 창출할 수 있는 환경을 조성하겠다고 설명했다.

하지만 사이버보안 관점에서 보면, 출연기관에 배정된 예산 방향은 여전히 보완이 필요하다. 국가 연구기관은 첨단 기술을 개발하는 동시에 국가 기반 인프라를 지키는 최전선이기도 하다. 따라서 단순히 재정구조 개편이나 연구 인센티브 확대에 그칠 것이 아니라, 사이버보안을 국가 임무 연구의 핵심축으로 명확히 설정해야 한다.

우선, 출연연 차원에서 국가 사이버보안 전략 연구를 상시적으로 수행할 수 있는 기반이 마련되어야 한다. ▲양자내성암호(PQC) 전환을 위한 국가 차원의 실증 테스트베드 운영, ▲공공 클라우드와 데이터센터 보안 검증, ▲중요 기반시설에 대한 레드팀 침투 실험, ▲AI·IoT 기반 위협 탐지 플랫폼 개발은 국가 차원의 연구기관이 아니면 감당하기 어려운 과제다. 이러한 연구는 개별 기업이나 대학 단위에서는 수행하기 어렵기 때문에 출연기관이 전담할 필요가 있다.

결국 출연기관 예산 4.0조 원은 단순히 연구자 처우 개선과 안정적 연구 환경을 넘어서, 국가적 사이버보안 임무 수행을 위한 전담 연구 체계 구축으로 이어져야 한다. 양자컴퓨팅, 인공지능, 에너지, 방산 등 대규모 투자가 진행되는 분야들은 모두 보안 없이는 취약해질 수밖에 없다. 따라서 출연연이 “국가 사이버보안 연구 허브” 역할을 확실히 맡아야 이번 예산이 진정한 의미를 가질 수 있다고 전문가들은 보고 있다.

■인력양성(1.3조 원, +35.0%): 사이버보안 전문인력 육성 시급

인력양성에는 1.3조 원이 투입된다. 최고급 이공계 인재 처우 개선과 맞춤형 지원을 통해 석·박사급 핵심 인재를 성장시키고, 산업계 수요 기반 인재양성과 산학연 공동 프로젝트를 추진한다. 해외 우수 인재 유치 프로그램인 ‘Brain to Korea’도 적극적으로 지원해 세계적 수준의 연구자를 국내에 정착시키겠다는 목표다.

그러나 국내는 여전히 사이버보안 전문인력 절대 부족 상태다. 국가 차원에서 사이버보안 박사 트랙을 별도로 운영하고, AI 보안·OT/ICS 보안·디지털 포렌식·악성코드 분석 같은 세부 전공 인력을 집중 육성해야 한다. 해외 인재 영입도 단순한 AI·반도체 중심이 아니라, PQC, 사이버위협 인텔리전스, 클라우드 보안 같은 전략적 분야를 타깃으로 삼아야 한다.

■지역성장(1.1조 원, +54.8%): 지역 사이버보안 인프라 강화 병행돼야

지역성장 분야에는 1.1조 원이 투입된다. 권역별로 예산을 배분해 지역 주도의 자율 연구개발을 지원하고, 지역 특화산업 중심으로 연구를 강화한다. 산·학·연 협력 연구를 활성화하고 혁신 산학 협력지구(클러스터)를 육성해 연구성과가 확산되도록 하며, 대규모 AI 전환 연구개발(AX R&D)도 추진된다.

그러나 지역 중소기업과 지방 공공기관은 보안 수준이 매우 취약하다. 따라서 지역 클러스터에는 사이버보안 테스트베드, 보안 관제센터(SOC), 침해대응 훈련센터가 함께 조성돼야 한다. 지역 AI 전환(AX R&D)도 개인정보 보호·클라우드 보안·데이터 주권 체계를 전제로 해야 실제 산업에 적용될 수 있다.

■재난안전(2.4조 원, +14.2%): 사이버 재난 대응 연구 포함해야

재난안전 분야에는 2.4조 원이 투자된다. AI와 드론 같은 첨단 기술을 활용해 감시·예방·대응·복구 등 전주기 재난 대응 역량을 강화한다. 다부처 협력사업을 통해 복합재난에 대응할 수 있는 기술을 개발하고, 리빙랩 실증과 구매조달 연계를 통해 연구성과의 현장 활용성을 높인다.

그러나 재난은 물리적 영역에만 국한되지 않는다. 최근 병원·교통·전력 인프라를 겨냥한 사이버공격은 곧바로 사회적 재난으로 이어졌다. 따라서 ▲사이버 재난 대응 모의훈련 ▲재난관리 기본계획에 사이버 공격 포함 ▲산업별 비즈니스 연속성 계획(BCP) 연구 ▲사이버-물리 복합 위기 대응 기술 개발이 반드시 필요하다. 리빙랩 실증 단계에서도 보안 검증 절차를 거치지 않으면 실효성이 없다.

■“역대 최대” 예산, 하지만 보안 없이는 위험한 성장

이번 35.3조 원 규모의 연구개발 예산은 연구생태계 복원과 산업 혁신의 기틀을 마련했다는 점에서 의미가 크다. 그러나 각 분야 어디에도 사이버보안이 별도 항목으로 명시되지 않은 점은 국가적 재앙을 발생시킬 수 있다는 우려도 크다.

인공지능, 에너지, 방산, 전략기술, 지역 혁신 모두 보안이 뒷받침되지 않으면 실패하거나 악용될 수 있다. 따라서 국회 심의 과정에서 각 분야별 최소 5% 이상을 사이버보안 예산으로 의무 배정하고, SBOM, PQC, 제로트러스트, AI 보안, ICS 보안, 사이버 재난 대응을 공통 핵심 과제로 설정해야 한다.

결국 이번 예산안이 ‘양적 확대’를 넘어 ‘질적 성장’으로 이어지려면, 사이버보안 내재화(Security by Design)가 반드시 보장되어야 한다. 보안 없는 성장 전략은 위험한 성장 전략에 불과하다는 우려의 목소리가 높다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업