‘제16회 시큐어 코리아 2025’ 컨퍼런스
에이전틱 AI, 새로운 내부자 위협으로 부상
AI 해킹 고도화…공격 양상 ‘24시간 자동화’ 전환
정부 “정보보호 투자·공시 체계 강화” 강조
에이전틱 AI, 새로운 내부자 위협으로 부상
AI 해킹 고도화…공격 양상 ‘24시간 자동화’ 전환
정부 “정보보호 투자·공시 체계 강화” 강조
[이데일리 권하영 기자] “쿠팡 개인정보 유출 사고 당시 퇴사자가 ‘정상적인 인증 키(토큰)’를 가지고 내부망에 들어왔습니다. 그런데 앞으로는 ‘에이전틱 AI’도 기업 내부 시스템에 접근할 수 있는 권한을 갖게 됩니다. 만약 이 AI가 해킹당하거나 오작동한다면, 수많은 ‘디지털 쿠팡 퇴사자’가 발생할 수도 있습니다.”
5일 서울 여의도 국회의원회관에서 국회 인공지능포럼과 한국해킹보안협회가 공동 주최한 ‘제16회 시큐어 코리아 2025’ 컨퍼런스에서 정현철 한국인터넷진흥원(KISA) 연구위원은 인공지능(AI) 기술의 발전이 가져올 새로운 보안 위협을 ‘쿠팡 사태’에 빗대어 이같이 경고했다.
이날 컨퍼런스는 급변하는 AI 시대의 보안 위협과 정부 정책 방향을 논의하기 위해 마련됐다. 현장에서는 AI가 단순 도구를 넘어 자율적으로 행동하는 주체가 되면서, 기존의 방어 체계로 막을 수 없는 ‘내부자 위협’이 현실화되고 있다는 우려가 제기됐다.
 |
5일 서울 여의도 국회의원회관에서 열린 ‘제16회 시큐어 코리아 2025’ 컨퍼런스에서 정현철 한국인터넷진흥원(KISA) 연구위원이 발표하고 있다. 사진=권하영 기자 |
5일 서울 여의도 국회의원회관에서 국회 인공지능포럼과 한국해킹보안협회가 공동 주최한 ‘제16회 시큐어 코리아 2025’ 컨퍼런스에서 정현철 한국인터넷진흥원(KISA) 연구위원은 인공지능(AI) 기술의 발전이 가져올 새로운 보안 위협을 ‘쿠팡 사태’에 빗대어 이같이 경고했다.
이날 컨퍼런스는 급변하는 AI 시대의 보안 위협과 정부 정책 방향을 논의하기 위해 마련됐다. 현장에서는 AI가 단순 도구를 넘어 자율적으로 행동하는 주체가 되면서, 기존의 방어 체계로 막을 수 없는 ‘내부자 위협’이 현실화되고 있다는 우려가 제기됐다.
에이전틱 AI가 만드는 새로운 ‘내부자 위협’
정현철 연구위원은 이날 발표에서 생성형 AI를 넘어선 ‘에이전틱 AI’의 위험성을 핵심 화두로 던졌다. 에이전틱 AI는 사용자 지시 없이도 스스로 판단하고 작업을 수행하는 자율형 AI를 말한다.
정 위원은 최근 퇴사자가 유효 인증키를 악용해 벌어진 쿠팡의 고객 정보 유출 사고를 언급하며 “에이전틱 AI도 업무를 수행하려면 필연적으로 기업 내부의 데이터베이스(DB)나 애플리케이션(SaaS)과 연결돼 정상적인 인증 토큰으로 접근하게 될 텐데, AI라고 안전한 것이 아니라 많은 취약점이 있을 수 있다”고 지적했다.
그러면서 “기업들의 효율성을 위해서는 에이젠틱 AI를 쓰지 않을 수는 없는 환경이지만, 보안 관점에서는 완전히 새로운 전장이 될 것”이라 덧붙였다.
공격의 양상도 ‘인해전술’에서 ‘AI전술’로 바뀌고 있다는 설명이다. 정 위원은 “사람 해커는 저녁 6시가 되면 퇴근하고 주말엔 쉬지만, AI 해커는 24시간 365일 쉬지 않고 취약점을 파고든다”며 방어자가 잠든 사이 공격이 이뤄지는 비대칭적 상황을 우려했다. 또한 “AI가 코딩을 해주듯 해킹 프로그램도 짜주는 ‘바이브 해킹(Vibe Hacking)’이 등장해, 누구나 쉽게 고도화된 공격을 할 수 있게 됐다”며 챗GPT 등장 이후 피싱 메일이 400% 폭증한 통계를 제시했다.
정 위원은 “미국은 안보 관점에서 AI 보안 스타트업에 수천억 원을 투자하고 있다”며 “정부가 ‘소버린 AI’를 외치지만 그 안의 보안 기술이 외산이라면 진정한 기술 주권은 없다. 국산 보안 기술 확보가 시급하다”고 강조했다.
 |
5일 서울 여의도 국회의원회관에서 열린 ‘제16회 시큐어 코리아 2025’ 컨퍼런스에서 최광기 과학기술정보통신부 사이버침해대응과장이 발표하고 있다. 사진=권하영 기자 |
강제 대신 공시로…정부, 기업 정보보호 투자 유도
정부는 최근 잇따르는 해킹 사고와 보안 위협에 대해 기업의 자율적인 정보보호 투자 확대를 적극적으로 유도하겠다는 방침을 재확인했다. 특히 법적 투자 의무 비율을 강제하는 규제 대신, 투자 현황을 대중에게 적극 알리는 공시 제도를 활용하겠다는 입장이다.
이날 컨퍼런스에서 기조강연에 나선 최광기 과학기술정보통신부 사이버침해대응과장은 “기업의 일정 비율 이상 투자를 강제하는 것은 기업의 경영 전략에 간섭하는 측면이 있어 이번 종합대책에 몇 퍼센트 이상을 의무화한다는 내용은 담지 않았다”며 대신 ‘정보보호 공시 제도’의 실질적인 영향력을 키우는 쪽으로 정책 방향을 잡았다고 설명했다.
현재 운영 중인 정보보호 공시 제도가 전문가나 관계자들만 확인하는 수준에 그쳤다면, 앞으로는 일반 국민과 소비자에게 적극적으로 알려 기업의 평판에 직접적인 영향을 미치게 하겠다는 것이다.
최 과장은 “지금까지는 한국인터넷진흥원(KISA) 내 공시 사이트에서만 정보를 확인할 수 있었지만, 앞으로는 좀 더 많은 사람에게 ‘이 기업이 이 정도의 정보보호 투자를 하고 있다’는 것을 적극적으로 알릴 것”이라고 강조했다. 실제 과기정통부는 정보보호 공시를 전자공시시스템에 연동하는 방안도 검토 중인 것으로 알려졌다.
아울러 정부는 기업 내 보안 조직의 위상을 높이기 위해 정보보호최고책임자(CISO)가 실질적인 예산과 인력 권한을 가질 수 있도록 제도를 정비하고, 기업의 귀책으로 인한 해킹 사고 시 소비자의 입증 책임을 완화하는 등 법적 책임도 강화할 방침이다.
최 과장은 “기업이 스스로 정보보호 투자의 중요성을 인식하고 확대해 나갈 수 있도록 하는 것에 방점을 둘 것”이라고 강조했다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.