[데일리시큐 CISO 조찬] 김창오 PM “AI 안전 없이는 혁신도 없다…국가 차원 대응 시급”

“AI 안전 확보가 곧 혁신의 전제조건...한국은 국제 표준화 논의에 주도적으로 참여하고 국가 차원의 보안 역량 강화해야”

“AI가 해킹을 시작하면 모든 것이 달라질 것이다. 해커들은 마치 외계인처럼 행동할 것이다.” 2022년 RSA 컨퍼런스에서 보안 전문가 브루스 슈나이어가 던진 이 발언은 이제 더 이상 과장이 아니다.

데일리시큐와 태니엄코리아가 27일 공동 주최한 CISO 조찬세미나에서 50여 명의 각 분야 CISO(정보보호최고책임자)가 참석한 가운데 과학기술정보통신부 정보보안 PM이자 ICT 국제표준 전문가인 김창오 PM은 “미래 사회의 안전망 : AI와 함께하는 창과 방패”라는 주제로 강연을 진행했고, AI 시대에 직면한 보안 패러다임의 근본적 전환을 강조했다.

김창오 PM은 AI가 사이버 공격의 양상 자체를 바꾸고 있다고 진단했다. “지금까지 해킹은 지식과 경험, 시간, 그리고 운이 필요한 인간의 활동이었다. 그러나 AI가 결합하면 속도, 규모, 정교함이 완전히 달라진다.” 실제로 AI는 OSINT(공개 정보)를 활용한 자동 정보 수집, 탐지 회피형 악성코드 제작, 맞춤형 피싱 메일 대량 작성, 대화형 침투 지원 등 해킹 전 과정을 자동화할 수 있다. 그는 “AI가 작성한 피싱 메일의 클릭률은 인간이 작성한 것보다 훨씬 높다”며, 공격 패턴의 고도화가 이미 현실화됐다고 경고했다.

이어 그는 해킹이 산업화 단계에 진입했다고 설명했다. 서비스형 랜섬웨어(RaaS) 같은 범죄 서비스가 확산되면서, 전문 해커가 아니어도 돈만 내면 공격 도구를 손쉽게 구매할 수 있는 환경이 형성됐다. 그는 “취약점이 공개된 지 불과 22분 만에 공격으로 악용된 사례도 있었다”며, 공격의 준비 시간이 과거보다 압도적으로 단축됐다고 지적했다.

AI는 여기에 속도를 더한다. 자동화된 취약점 분석과 악성코드 제작, 소셜미디어 플랫폼을 겨냥한 봇 공격, AI가 생성한 피싱 캠페인 등은 사이버 위협을 양적으로도 기하급수적으로 확대시키고 있다.

또 김창오 PM은 최근 발생한 다양한 보안 사고를 사례로 제시하며 “이제는 경계선 중심의 보안으로는 부족하다”고 강조했다. 솔라윈즈 공급망 침해, 아파치 Log4j 취약점, 통신사 인터넷망 디도스 공격, 대기업 내부 DB 유출, 그리고 최근 SK텔레콤 유심 정보 유출 사건까지 모두 기존 경계선 보안의 한계를 드러낸 사건들이라고 전했다.

그는 “내부망 침투, 데이터 삭제와 암호화, 공급망 무결성 훼손 등 공격은 경계선을 넘어 전 영역으로 확장되고 있다”며, 제로트러스트, 공급망 보안 내재화, 내부망 통제 강화를 아우르는 전 영역 보안 체계의 필요성을 강조했다.

그러나 AI는 창이자 동시에 방패가 될 수 있다. 김 PM은 NIST CSF 프레임워크를 토대로 ‘AI 방패’를 설명했다. AI는 자산을 자동 식별하고 취약점을 예측하며, 비정상 행위를 탐지해 빠르게 대응할 수 있다. MITRE ATT&CK 기반 위협 탐지와 결합하면 공격 초기 단계에서부터 차단이 가능하다는 것이다.

하지만 한국의 현 수준은 선도국과 비교해 여전히 낮다. 그는 “선도국의 보안 대응 수준이 70점대에 이르지만 한국은 40~50점대에 머물러 있다”며, AI 기반 다층 방어체계 도입을 서둘러야 한다고 강조했다.

그는 “미국은 오픈AI, 마이크로소프트를 중심으로 AI 생태계를 확장하고 수천억 달러 규모의 인프라 투자를 추진하고 있다. 반면 중국은 생성형 AI 관련 특허 출원에서 세계 1위를 차지했고, 인재 양성과 반도체 투자를 통해 ‘AI 국가주의 시대’를 주도하고 있다”고 분석했다.

반면 “한국은 세계 3위의 특허 출원국으로 기록되기도 했지만, 아직 국가 차원의 체계적 대응은 부족하다. AI 모델, 반도체, 네트워크, 서비스 전반의 주권 기술 확보가 국가 안보와 직결된다는 점을 직시해야 한다”고 말했다.

김창오 PM은 AI가 사이버 공간을 넘어 현실 세계로 확장되는 피지컬 AI 시대의 도래도 강조했다. 그는 “휴머노이드 로봇, 자율주행차, 스마트 팩토리 등에서 AI가 물리적 환경과 직접 상호작용하고 있다”며, 엔비디아가 CES 2025에서 공개한 ‘옴니버스’와 ‘코스모스’ 플랫폼을 사례로 들었다.

피지컬 AI는 단순한 가상 연산이 아니라 로봇 팔, 모터 같은 구동 장치를 통해 실제 작업을 수행하며, 3D 디지털 트윈 환경에서 계획과 제어, 의사결정을 병행한다. 그는 “AI가 물리적 세계에 들어온 만큼, 보안도 사이버와 물리 영역을 동시에 고려해야 한다”고 강조했다.

김 PM은 AI 보안 생태계를 위한 구체적 대응 방향도 제시했다. ▲AI 화이트해커 1만 명 양성 ▲정보보호 공시제 확대 ▲사이버 방위산업 육성 ▲AI 안전 프레임워크 수립 등이다. 그는 “AI 모델, 데이터, 애플리케이션의 모든 공격 예상 지점에서 보안을 강화해야 한다”며, 기술뿐 아니라 제도와 인재, 산업이 함께 움직여야 한다고 말했다.

강연을 마무리하며 김창오 PM은 “AI는 잘 활용되면 혁신의 동력이지만, 잘못 쓰이면 가짜뉴스, 딥페이크, 자율무기 체계 같은 인류 위협으로 이어질 수 있다”고 말했다. 이어 “AI 안전 확보가 곧 혁신의 전제조건이며, 한국은 국제 표준화 논의에 주도적으로 참여하고 국가 차원의 보안 역량을 강화해야 한다”고 당부했다.

이번 강연에서 김창오 PM은 한국이 직면한 과제가 단순한 기술 개발이 아니라 국가 생존 전략임을 강조했다. 미·중 패권 경쟁, 피지컬 AI 시대, 전 영역 보안 체계 구축, AI 안전 프레임워크 마련이 모두 맞물려 있는 지금, 한국이 어떤 선택을 하느냐가 곧 사이버 안보의 미래를 결정할 것으로 보인다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명