"해킹·가상자산·AI 위협 동시 확산"…전문가들 "사이버 보안 체계 전면 재정비해야"

5일 국회서 '해킹 보안 컨퍼런스' 개최…정부·학계·기관 참석해 현안 공유

올해 대형 기업 침해사고 연달아 발생…정부, '정보보호 종합대책' 본격 추진 중

전문가들, 정책·기술·산업 전면 보강 한목소리…생성형·에이전틱 AI 확산으로 공격 양상 급변

[서울=뉴스핌] 양태훈 기자 = 올해 국내 기업을 대상으로 한 해킹과 가상자산 범죄, 생성형 AI를 악용한 공격이 늘어나면서 사이버 보안 체계 전반을 재정비해야 한다는 목소리가 커지고 있다. 정부가 공급망·중소기업 취약성 심화에 대응하기 위해 범부처 '정보보호 종합대책'을 시행 중인 가운데, 전문가들은 가상자산 규제와 AI 보안 전략도 통화정책·국가안보·산업 경쟁력을 함께 고려한 종합 틀로 전환해야 한다고 입을 모았다.

5일 국회 의원회관에서 열린 '해킹 보안 컨퍼런스'에서 임정규 과학기술정보통신부(이하 과기정통부) 정보보호네트워크정책관, 김기범 성균관대 교수, 정현철 한국인터넷진흥원(KISA) 연구위원 등이 참석해 최근 사이버 위협 동향과 정책 과제를 논의했다.

임정규 과기정통부 정책관은 "GS리테일, SK텔레콤, LG유플러스, 전자상거래 업체, 최근 쿠팡까지 굵직한 사고가 이어졌다. 기업과 기관은 아직 긴장을 늦춰선 안 되는 상황"이라며 "올해 국내 해킹·침해사고가 전방위적으로 증가하고 있다"고 진단했다.

과기정통부에 따르면 한국인터넷진흥원에 접수된 침해사고 신고 건수는 지난해 1887건을 기록했으며, 올해는 지난 10월 말 기준으로 이미 1965건을 넘어섰다. 정부는 올해 연말까지 침해사고 건수가 2450건을 넘어설 것으로 보고 있다. 소프트웨어 공급망 취약점을 노린 공격과 중소기업 대상 사고 비중이 커진 게 이유다.

정부는 이런 문제를 해소하기 위해 지난 10월 22일 국가안보실 주도로 '정보보호 종합대책'을 수립했다. 과기정통부·금융위원회·개인정보보호위원회·국가정보원·행정안전부 등이 참여한 이번 대책은 보안을 '기업 운영의 필수 투자'로 재정립하는 것을 목표로 ▲공공·금융·통신 등 국민 다수가 이용하는 1600개 핵심 IT 시스템을 대상으로 한 전수 점검 ▲해킹 정황만으로도 가능한 현장 조사 권한 확대 ▲개인정보 유출 과징금을 피해자 지원에 활용하는 방안 ▲보안 책임자 권한·예산 강화 ▲양자내성암호(PQC) 등 차세대 암호체계 전환 ▲민·관·군 합동 대응 체계 고도화 등에 전념하고 있다.

임 정책관은 "초연결 환경에서 협력업체 시스템을 통해 악성코드가 유입되는 공급망 공격이 늘고 있다. 올해 발생한 침해사고의 83%가 보안 역량이 취약한 지역·중소기업에서 발생했다"며 "여전히 많은 기업이 보안을 비용으로 인식하고 있고, 최고정보보호책임자(CISO) 등 보안 조직의 권한이 충분히 확보되지 못한 점을 취약 요인으로 볼 수 있다"고 전했다.

가상자산 분야에서는 규제 체계 재편과 원화 스테이블코인 전략이 핵심 과제로 제시됐다. 김기범 성균관대 교수는 "가상자산은 금융·기술·범죄·안보가 동시에 얽힌 복합 규제 영역으로, 현재의 특금법과 가상자산이용자보호법만으로는 급변하는 시장과 위험을 담아내기 어렵다"며 "스테이블코인·자산 토큰화 등 새로운 디지털자산을 포괄하는 종합 규제체계가 필요하다"고 말했다.

김 교수는 달러 스테이블코인의 확산을 언급하며 "원화 스테이블코인 논점은 '도입하느냐 마느냐'가 아니라, 도입을 전제로 통화정책·금융안정·이용자 보호를 어떻게 설계할 것인가의 문제다. 스테이블코인 규제 방식에 따라 중앙은행의 통화정책 통제력과 금융시스템 안정성에 직접적인 영향을 미친다"며 "서비스 혁신과 산업 경쟁력, 정책 기능 사이의 균형점을 찾는 것이 국가 전략의 핵심"이라고 했다.

이어 "가상자산 등장 이후 협박·공갈 범죄는 국경을 넘는 '글로벌 범죄'로 변했고, 이는 검거 가능성은 낮고 범죄 수익은 커진 구조로 볼 수 있다"며 "발행·거래 지점 추적의 어려움, 압수 자산의 보관·환가 과정에서 발생하는 법적·실무적 공백, 가격 변동성이 큰 자산 처분 시 국가 책임 범위, 환가·이체 과정의 수수료 부담 주체, 피의자의 비밀번호 진술 거부 문제 등 현장에서 제도적으로 정비해야 할 항목이 많다. 수사기관이 직접 가상자산을 보관할 때 재산신고·세금 문제 등 부작용이 생기는 만큼, 거래소나 제3의 전문기관이 맡는 '커스터디 서비스'와 표준 매뉴얼 마련이 시급하다"고 말했다.

AI 보안 분야에서는 생성형·에이전틱(Agentic) AI 확산이 사이버 위협의 양상과 범위를 근본적으로 바꾸고 있다는 분석이 나왔다. 정현철 KISA 연구위원은 "생성형 AI 등장 이후 보안 환경은 이전과 완전히 다른 국면으로 진입했다"며 "AI는 국가 경쟁력의 핵심이자 미·중 패권 경쟁의 중심 기술이지만 동시에 새로운 보안 전장을 여는 요인"이라고 진단했다.

정 연구위원은 AI로 인한 위협을 '해킹의 대중화·사회공학 공격의 정교화·속도와 규모의 비약적 확대'로 요약했다. 그는 "AI 코딩 도구가 악성코드·해킹 도구 제작에도 그대로 활용되면서 고급 해킹 기술이 비전문가에게까지 내려가고 있다"며 "사람과 구분하기 어려운 텍스트·이미지·음성·영상을 만들어 내면서 피싱·보이스피싱·스미싱 같은 사회공학 공격이 훨씬 설득력 있고 대량으로 생산되는 환경"이라고 설명했다.

정 연구위원은 특히 에이전틱 AI와 피지컬(Physical) AI가 보안 영역을 기업 내부 시스템과 물리적 인프라까지 확장시키는 요소로 지목했다.

정 연구위원은 "항공권·숙박까지 자동 예약하는 에이전틱 AI는 기업 내부 DB·업무시스템과 직접 연동되기 때문에 사실상 '정상 계정·토큰을 가진 내부 사용자'처럼 행동한다"며 "AI가 취약하거나 악용될 경우 수많은 내부 침입자가 생기는 것과 같다"고 했다. 로봇·공장 설비 등과 결합한 피지컬 AI의 경우 "정보 유출을 넘어 물리적 피해를 초래할 수 있어, 보안 관점에서 완전히 새로운 전장을 연다"고 분석했다.

정 연구위원은 "미국의 경우, AI 설계 단계부터 보안을 내재화하고, 고보안 데이터센터·AI 해커톤·위협 정보 공유체계·고위험 AI 평가 등을 묶어 국가 전략으로 추진하고 있다"며 "반면 우리나라의 AI 보안 투자와 산업 생태계는 아직 걸음마 단계다. 정부 R&D 차원에서 AI 보안 분야에 약 500억원 수준을 투자하고 있지만, 미국에서는 개별 스타트업 한 곳이 유치하는 투자액에도 못 미치는 규모"라고 지적했다.

이어 "EU·미국도 규제보다는 자율·표준·투명성을 강조하는 방향으로 가고 있는 만큼, 한국도 기업의 책임성과 투명성을 높이는 구조를 설계해야 한다"며 "정부가 소위 '소버린 AI'를 강조하는 만큼, 핵심 보안 기능까지 외산에 의존하는 구조로는 진정한 의미의 소버린 AI가 될 수 없다. 소버린 AI를 위해선 국산 AI 보안 기술이 필수이며, 이는 국가 안보 차원의 과제"라고 강조했다.

dconnect@newspim.com