[아이티데일리] 사이버보안 사고가 쏟아지고 있다. 해킹으로 SK텔레콤(SKT)의 고객 유심(USIM) 정보가 유출됐으며 인터넷서점 예스24와 SGI서울보증이 랜섬웨어에 감염돼 서비스 장애를 겪었다. 특히 예스24는 지난달 랜섬웨어에 재차 감염되는 곤욕을 치렀다.

정부 기관도 예외는 아니다. 지난달 발간된 해킹 기술 전문 간행물 ‘프랙(Phrack)’에 국가배후 해킹조직이 행정안전부, 외교부, 통일부 등을 공격했다는 내용의 보고서가 실렸다.

이재명 대통령은 지난 7월 9일 열린 ‘제1회 정보보호의 날 기념식’에서 과학기술정보통신부 류제명 2차관이 대독한 축사를 통해 “체계적인 정보보호, 튼튼한 사이버보안이 뒷받침된다면 AI 3대 강국은 대한민국의 현실이 될 수 있다”고 강조한 바 있다.

정작 이재명 정부의 국정 청사진이 담긴 123대 국정 과제에서 사이버보안은 보이지 않았다. 국정기획위원회가 지난달 13일 발표한 해당 안에는 개인정보 보호 체계, AI 오남용 대응이 일부 언급됐으나 인력·예산 등 구체적인 실행 계획은 빠져 있었다.

정부의 시선은 온통 AI를 향해 있다. ‘AI 3대 강국’을 목표로 삼은 이재명 정부는 독자 AI 생태계 구축, 차세대 AI 반도체 및 원천기술 선점, 최고급 AI 인재 확보 등을 약속했다. 그래픽처리장치(GPU) 5만 장 확보, 국가AI컴퓨팅센터 설립 등 인프라 지원까지 나서고 있다.

사이버보안에 대한 홀대는 내년도 연구개발(R&D) 예산안에서도 두드러진다. 정부는 AI 분야에 전년 대비 106.1% 증가한 2조 3,000억 원을 투입한다. 범용 인공지능(AGI), 경량·저전력 AI 등 차세대 기술 개발 투자에 집중한다는 계획이다. 반면 사이버보안 분야는 별도 항목조차 찾아볼 수 없었다.

AI가 확산하며 그로 인한 보안 위협 또한 늘어나는 추세다. 생성형 AI 서비스를 도입하는 과정에서 이뤄지는 외부망 연결은 공격 표면 증가로 이어진다. 공격자는 모델 학습 데이터를 조작해 AI가 왜곡된 답변을 제공하도록 유도할 수 있다. 악의적 명령을 사용자 몰래 입력시키는 ‘프롬프트 인젝션(Prompt Injection)’ 또한 늘어나고 있다. 금융, 국방 등 여러 분야에 접목된 AI 시스템이 이러한 공격이 노출된다면 크나큰 피해를 낳을 수 있다.

이 같은 맥락에서 글로벌 빅테크들은 AI 기술 개발과 함께 보안 연구를 병행한다. 마이크로소프트는 공격을 시뮬레이션해 취약점을 선제적으로 식별하는 ‘AI 레드팀(Red Team)’을 운영하는 한편, 지속적인 모니터링으로 프롬프트 인젝션에 대한 대응도 강화하고 있다. 구글 역시 ‘보안 AI 프레임워크(SAIF)’를 통해 AI 생태계 전반의 보안 강화, 자동화된 방어 시스템 등을 강조한다.

AI만큼은 아니더라도 사이버보안 분야에도 투자가 이뤄져야 한다. 국내 정보보호 업계에서는 AI 투자의 10%는 정보보호에 투자해야 한다고 제언하기도 했다. 연이은 랜섬웨어 공격과 정부 기관 해킹 사고를 고려할 때 국가 차원의 사이버 복원력 강화와 민관 협력 체계 구축도 시급하다. ​123개 국정 과제에서 소외된 사이버보안이 AI 강국의 필요조건임을 인정하고 구체적인 실행 계획을 마련해야 할 때다.

‘AI 3대 강국’이라는 기치는 매력적이다. 하지만 사이버보안이 빠진 AI는 신뢰받을 수 없고, 국제 경쟁에서도 취약할 수밖에 없다. 토대가 단단해야 깃발이 높이 휘날린다. 사이버보안 없는 AI 강국이란 존재할 수 없다.