.jpg)
[3줄 요약]
1. 연쇄 해킹 위기로 탄생한 ‘보안TF’ 리더 인터뷰
2. 선제적 보안 전환 총력... “은폐 유도 환경부터 고쳐야”
3. “비오는 날 교통체증 같은 해킹, 절대 막는다는 건 허상”
하루가 멀다하고 줄줄이 터지는 사고, 이제는 해킹이 일상화된 ‘해킹 뉴노멀’이다. 기업도 정부도 언제 누가 타깃이 될지 모른다. <보안뉴스>는 이제 해킹을 ‘뉴노멀’로 받아들이고 바뀐 시대에 맞는 보안 패러다임을 이끌어갈 리더들을 차례로 만나보는 인터뷰 시리즈 ‘해킹 뉴노멀’을 연재한다. [편집자주]
[보안뉴스 강현주 기자] “선제적 보안이란 사고가 나지 않게 하겠다는 선언이 아니라 사고를 숨기지 않아도 되는 구조를 만드는 일입니다. 취약점을 먼저 발견하고 공유해도 불이익을 받지 않는 환경이어야 진짜 보안이 작동합니다.”
AI 3대 강국 도약을 위한 정책 컨트롤타워인 국가AI전략위원회 에서 ‘보안TF’ 리더를 맡고 있는 이원태 국민대학교 특임교수의 말이다.
2026년은 해킹이 새로운 ‘노멀’(Normal)인 동시에, AI 3대 강국 도약의 원년이다. AI 전환의 전제도 보안이다. 그런 면에서 올해 대한민국 도약 전략에 가장 중요한 인물 중 하나인 그를 [해킹 뉴노멀] 첫번째 인터뷰이로 만났다.
▲이원태 국가AI전략위 보안TF 리더 [출처: 보안뉴스]
보안TF, 연쇄 해킹 국가 위기가 낳은 조직
한국인터넷진흥원(KISA) 원장을 지내기도 한 이원태 교수는 현 정부 우선순위 과제인 AI 3강 도약을 위한 정책 컨트롤타워 국가AI전략위원회에서 보안TF를 이끌고 있다.
이 교수는 “보안TF는 처음부터 독립적 보안 분과로 출범한 조직은 아니었고, AI를 둘러싼 위협을 다루는 국방안보 분과 하위 조직에서 출발했다”며 “하지만 2025년 대규모 해킹이 연쇄 발생하면서 보안 실패가 곧 국가적 위기로 직결된다는 점이 분명해지고, 국가안보실과 국가AI전략위가 긴급히 보안TF를 재정비했다”고 밝혔다.
AI 3강을 목표로 AI 전환을 가속화하면서 공격 표면이 급격히 넓어진다는 점에서, 보안은 AI 국가 전략의 전제 조건이자 핵심 축이라는 인식이 정부 전반에 공유됐다는 게 이 교수의 설명이다.
이 교수는 “현실의 위기가 낳은 보안TF는 AI 액션 플랜 전반에 보안 정책 과제를 전담하고 상시 반영하기 위한 목적으로, AI 강국 도약 과정에서 드러난 구조적 취약성에 대응하기 위한 조직”이라고 소개했다.
“선제적 보안, 자발적 신고 불이익 없는 구조부터”
이 교수가 이끄는 보안TF는 ‘선제적 보안’으로 패러다임을 전환하는 것을 올해 중점 과제로 내세운다. 실제로 지난해 12월 국가AI전략위가 발표한 ‘대한민국 AI 행동계획안’의 12대 전략분야 중 첫번째 ‘AI고속도로 구축’에 ‘화이트해커 선제적 보안점검 제도 도입’이 포함된다. 보안TF는 화이트해커와 민간 연구자를 활용한 선제적 취약점 발굴 신고·조치·공개 제도(CVD·VDP)를 적극 추진할 방침이다.
이 교수는 “AI 기반 공격은 빠르고, 쉬지 않고, 대규모이므로 사고 발생 후 원인을 찾고 책임을 묻는 방식은 이미 늦는다”라며 선제적 보안 전환의 필요성을 설명했다.
그는 “선제적 보안 체계로 전환하려면 자발적 점검과 신고가 불이익으로 돌아오지 않는 구조부터 만들어야 한다”며 “지금처럼 사고가 곧 처벌과 낙인으로 이어지는 구조에선 방어와 회복보다 은폐를 선택하게 되고 보안 강화가 아니라 위험을 지하로 밀어 넣는 결과를 낳는다”고 말했다.
이어 “처벌 완화를 말하는 게 아니라, 사전에 문제를 고치려는 노력은 정상 참작되고 보호받아야 된다는 얘기”라고 강조했다.
이를 위해 보안TF는 CVD·VDP·버그바운티를 통합한 상시적 취약점 점검 체계의 제도화를 추진할 방침이다.
“화이트해커와 민간 연구자가 합법적이고 통제된 범위에서 취약점을 발견하고, 이를 조정·조치한 후 공개하는 구조가 있어야 한다”며 “해킹을 허용하는 것이 아니라, 취약점이 은폐되거나 무기화되기 전에 사회 제도 안으로 끌어오는 장치”라고 이 교수는 설명했다.
▲이원태 국가AI전략위 보안TF 리더가 보안뉴스와 인터뷰를 하고 있다. [출처: 보안뉴스]
‘절대 막겠다’보다 ‘빠른 회복’... 거버넌스 혁신 필요
이 교수는 해킹이 일상화된 시대에 바뀌어야 할 것들을 묻는 질문에 “해킹이 비오는 날 교통 체증처럼 상시 발생하는 환경에서 ‘절대 막겠다”는 목표는 허상”이라며 “얼마나 빨리 알고, 얼마나 좁은 범위로 가두며, 얼마나 빨리 정상화되는냐가 중요하다”고 답했다. “성벽을 높이는 전략이 아니라 피해를 분산하고 회복력을 키우는 전략으로, 보안은 방패보다는 생명 유지장치가 돼야 한다”는 설명이다.
최근 중요성이 더욱 부각된 ‘회복 탄력성’을 위해선 기술뿐 아니라 거버넌스와 책임 구조까지 함께 바뀌어야 한다고 이 교수는 강조한다.
그는 “거버넌스와 책임 구조 변화란, 보안을 더 이상 특정 부서나 개인 문제가 아닌 조직과 국가의 의사결정 구조 안으로 끌어올리는 것”이라며 “지금까지 많은 조직에서 해킹 책임이 CISO나 보안팀에만 집중됐지만 실제 원인은 개발 일정 압박, IT 자산 관리 부실, 퇴사자 권한 미회수, 경영진 투자 판단 등 여러 조직과 결정이 누적된 결과인 경우가 대부분”이라고 말했다.
이어 “CIO·CTO·CISO가 각자의 역할과 책임을 나누고, 사고 때 책임을 전가하는 구조가 아니라 사전에 위험을 공유하고 투자와 우선순위를 함께 결정하는 구조가 돼야 한다는 뜻”이라며 “국가 차원에서도 마찬가지로, 민간 해킹, 공공 침해, 국가배후 공격을 칸막이로 나누는 방식은 더 이상 작동하지 않는다”고 했다.
사고가 발생할 때 누가 조사하고, 누가 발표하며, 누가 국제 협력을 담당하는지 명확히 정리된 통합 거버넌스가 필요하다는 얘기다.
이 교수는 “해킹이 터질 때마다 임시 TF를 꾸리는 것이 아니라, 평소 역할과 책임이 작동하는 체계를 갖춰야 한다”며 “해킹 뉴노멀 시대의 보안은 기술 경쟁이 아니라 조직과 국가의 책임 설계 문제”라고 강조했다.
[강현주 기자(jjoo@boannews.com)]
1. 연쇄 해킹 위기로 탄생한 ‘보안TF’ 리더 인터뷰
2. 선제적 보안 전환 총력... “은폐 유도 환경부터 고쳐야”
3. “비오는 날 교통체증 같은 해킹, 절대 막는다는 건 허상”
하루가 멀다하고 줄줄이 터지는 사고, 이제는 해킹이 일상화된 ‘해킹 뉴노멀’이다. 기업도 정부도 언제 누가 타깃이 될지 모른다. <보안뉴스>는 이제 해킹을 ‘뉴노멀’로 받아들이고 바뀐 시대에 맞는 보안 패러다임을 이끌어갈 리더들을 차례로 만나보는 인터뷰 시리즈 ‘해킹 뉴노멀’을 연재한다. [편집자주]
[보안뉴스 강현주 기자] “선제적 보안이란 사고가 나지 않게 하겠다는 선언이 아니라 사고를 숨기지 않아도 되는 구조를 만드는 일입니다. 취약점을 먼저 발견하고 공유해도 불이익을 받지 않는 환경이어야 진짜 보안이 작동합니다.”
AI 3대 강국 도약을 위한 정책 컨트롤타워인 국가AI전략위원회 에서 ‘보안TF’ 리더를 맡고 있는 이원태 국민대학교 특임교수의 말이다.
2026년은 해킹이 새로운 ‘노멀’(Normal)인 동시에, AI 3대 강국 도약의 원년이다. AI 전환의 전제도 보안이다. 그런 면에서 올해 대한민국 도약 전략에 가장 중요한 인물 중 하나인 그를 [해킹 뉴노멀] 첫번째 인터뷰이로 만났다.
▲이원태 국가AI전략위 보안TF 리더 [출처: 보안뉴스]
보안TF, 연쇄 해킹 국가 위기가 낳은 조직
한국인터넷진흥원(KISA) 원장을 지내기도 한 이원태 교수는 현 정부 우선순위 과제인 AI 3강 도약을 위한 정책 컨트롤타워 국가AI전략위원회에서 보안TF를 이끌고 있다.
이 교수는 “보안TF는 처음부터 독립적 보안 분과로 출범한 조직은 아니었고, AI를 둘러싼 위협을 다루는 국방안보 분과 하위 조직에서 출발했다”며 “하지만 2025년 대규모 해킹이 연쇄 발생하면서 보안 실패가 곧 국가적 위기로 직결된다는 점이 분명해지고, 국가안보실과 국가AI전략위가 긴급히 보안TF를 재정비했다”고 밝혔다.
AI 3강을 목표로 AI 전환을 가속화하면서 공격 표면이 급격히 넓어진다는 점에서, 보안은 AI 국가 전략의 전제 조건이자 핵심 축이라는 인식이 정부 전반에 공유됐다는 게 이 교수의 설명이다.
이 교수는 “현실의 위기가 낳은 보안TF는 AI 액션 플랜 전반에 보안 정책 과제를 전담하고 상시 반영하기 위한 목적으로, AI 강국 도약 과정에서 드러난 구조적 취약성에 대응하기 위한 조직”이라고 소개했다.
“선제적 보안, 자발적 신고 불이익 없는 구조부터”
이 교수가 이끄는 보안TF는 ‘선제적 보안’으로 패러다임을 전환하는 것을 올해 중점 과제로 내세운다. 실제로 지난해 12월 국가AI전략위가 발표한 ‘대한민국 AI 행동계획안’의 12대 전략분야 중 첫번째 ‘AI고속도로 구축’에 ‘화이트해커 선제적 보안점검 제도 도입’이 포함된다. 보안TF는 화이트해커와 민간 연구자를 활용한 선제적 취약점 발굴 신고·조치·공개 제도(CVD·VDP)를 적극 추진할 방침이다.
이 교수는 “AI 기반 공격은 빠르고, 쉬지 않고, 대규모이므로 사고 발생 후 원인을 찾고 책임을 묻는 방식은 이미 늦는다”라며 선제적 보안 전환의 필요성을 설명했다.
그는 “선제적 보안 체계로 전환하려면 자발적 점검과 신고가 불이익으로 돌아오지 않는 구조부터 만들어야 한다”며 “지금처럼 사고가 곧 처벌과 낙인으로 이어지는 구조에선 방어와 회복보다 은폐를 선택하게 되고 보안 강화가 아니라 위험을 지하로 밀어 넣는 결과를 낳는다”고 말했다.
이어 “처벌 완화를 말하는 게 아니라, 사전에 문제를 고치려는 노력은 정상 참작되고 보호받아야 된다는 얘기”라고 강조했다.
이를 위해 보안TF는 CVD·VDP·버그바운티를 통합한 상시적 취약점 점검 체계의 제도화를 추진할 방침이다.
“화이트해커와 민간 연구자가 합법적이고 통제된 범위에서 취약점을 발견하고, 이를 조정·조치한 후 공개하는 구조가 있어야 한다”며 “해킹을 허용하는 것이 아니라, 취약점이 은폐되거나 무기화되기 전에 사회 제도 안으로 끌어오는 장치”라고 이 교수는 설명했다.
▲이원태 국가AI전략위 보안TF 리더가 보안뉴스와 인터뷰를 하고 있다. [출처: 보안뉴스]
‘절대 막겠다’보다 ‘빠른 회복’... 거버넌스 혁신 필요
이 교수는 해킹이 일상화된 시대에 바뀌어야 할 것들을 묻는 질문에 “해킹이 비오는 날 교통 체증처럼 상시 발생하는 환경에서 ‘절대 막겠다”는 목표는 허상”이라며 “얼마나 빨리 알고, 얼마나 좁은 범위로 가두며, 얼마나 빨리 정상화되는냐가 중요하다”고 답했다. “성벽을 높이는 전략이 아니라 피해를 분산하고 회복력을 키우는 전략으로, 보안은 방패보다는 생명 유지장치가 돼야 한다”는 설명이다.
최근 중요성이 더욱 부각된 ‘회복 탄력성’을 위해선 기술뿐 아니라 거버넌스와 책임 구조까지 함께 바뀌어야 한다고 이 교수는 강조한다.
그는 “거버넌스와 책임 구조 변화란, 보안을 더 이상 특정 부서나 개인 문제가 아닌 조직과 국가의 의사결정 구조 안으로 끌어올리는 것”이라며 “지금까지 많은 조직에서 해킹 책임이 CISO나 보안팀에만 집중됐지만 실제 원인은 개발 일정 압박, IT 자산 관리 부실, 퇴사자 권한 미회수, 경영진 투자 판단 등 여러 조직과 결정이 누적된 결과인 경우가 대부분”이라고 말했다.
이어 “CIO·CTO·CISO가 각자의 역할과 책임을 나누고, 사고 때 책임을 전가하는 구조가 아니라 사전에 위험을 공유하고 투자와 우선순위를 함께 결정하는 구조가 돼야 한다는 뜻”이라며 “국가 차원에서도 마찬가지로, 민간 해킹, 공공 침해, 국가배후 공격을 칸막이로 나누는 방식은 더 이상 작동하지 않는다”고 했다.
사고가 발생할 때 누가 조사하고, 누가 발표하며, 누가 국제 협력을 담당하는지 명확히 정리된 통합 거버넌스가 필요하다는 얘기다.
이 교수는 “해킹이 터질 때마다 임시 TF를 꾸리는 것이 아니라, 평소 역할과 책임이 작동하는 체계를 갖춰야 한다”며 “해킹 뉴노멀 시대의 보안은 기술 경쟁이 아니라 조직과 국가의 책임 설계 문제”라고 강조했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
