국회입법조사처, ‘미토스’ 사태와 AI 보안 위협 대응 전략 간담회
“소버린 AI 전략 넘어서는 ‘소버린 AI 보안 전략’ 조속히 추진해야”
[보안뉴스 원병철 기자] 미토스의 등장 이후 챗GPT 5.5 사이버, 마이크로소프트 MDASH 등 다양한 사이버보안 강화 AI가 등장하면서 전 세계의 이목이 쏠리고 있지만, 아직 특정 기업에만 공급되는 등 불균형 문제가 이어지고 있다. 이에 보안전문가들은 이러한 문제를 지적하며 국가적 리스크로 관리해야 한다는 의견을 내고 있다.
[출처: gettyimagesbank]
이미 현실에서는 공격자와 방어자 양측에서 AI 활용이 본격화하면서, 공격 진영에서는 AI 기반 자율·대규모 공격으로의 패러다임 전환이 이뤄지고 있으며, 방어 진영에서도 AI 에이전트가 수십 년간 발견되지 않았던 제로데이(0-day) 취약점을 자율적으로 발굴하는 수준에 도달했다.
국회입법조사처가 개최한 ‘국회입법조사처 과학방송통신팀 전문가 간담회’에서 이상근 고려대 AI 보안연구소장은 “‘미토스’ 이후 사이버공격의 진입장벽이 크게 낮아지고, 공격 속도 또한 인간 대응 수준을 넘어 기계 수준으로 빨라지는 등 사이버 위협의 패러다임 변화가 나타나고 있다”고 지적하며, “행위 기반 탐지와 자동(실시간) 패치의 중요성이 커지고 있다”고 강조했다. 아울러 “글로벌 사이버보안 환경은 앤트로픽의 ‘Glasswing’, OpenAI의 ‘Trusted Access for Cyber’ 등 방어적 사이버보안 이니셔티브를 중심으로 형성되고 있다”고 설명했다.
또한, 최근 미국 국립표준기술연구소(NIST)의 취약점 데이터베이스(NVD) 축소로 취약점 관리 ‘글로벌 표준’이 붕괴하고 있는데, 우리나라는 이를 보완할 국가 취약점 정보 보강 체계가 없다는 점도 함께 지적했다.
“영국만 해도 사이버보안 및 복원력 법안(CS&R Bill), 무료·개방형 국가 조기경보 체계 등을 갖췄는데, 한국은 사이버 통합법 부재, 자산 매칭 기반 조기경보체계 미흡, SBOM(소프트웨어 자재 명세서) 의무화 부재 등의 공백이 존재합니다.”
이외에도 이 소장은 정보 비대칭(Glasswing 소외), 공공·금융권의 느린 패치 속도, 보안 인력·예산 부족, AI 보안 기술주권 부재, 레거시 시스템 및 오픈소스 의존도 등의 한계도 함께 지적하며, AI 정책의 중심이 ‘산업 육성’에서 ‘국가 리스크 관리’로 전환될 필요가 있다고 덧붙였다.
한국형 NVD 운영 근거 등 관련법 강화해야
이 교수는 현행 사이버보안 대응체계의 한계를 해결하기 위한 법령 등 개정 방안을 3단계로 제시했다.
첫째(단기), 관련 시행령·고시 등 개정을 통해 주요정보통신기반시설의 긴급 패치 시 사전심의 면제 등 긴급 패치 약식 절차를 마련하고, 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 기준에 SBOM 작성·공격경로 분석·AI 취약점 스캐닝 등을 반영하며, 한국형 NVD 운영 근거를 마련하는 한편, 국정원 사이버보안 실태평가 항목에도 AI 취약점 스캐닝 등을 포함할 필요가 있다고 제안했다.
둘째(중기), ‘정보통신망법 이용촉진 및 정보보호 등에 관한 법률’을 개정해 긴급 패치 적용 과정에서 발생한 다운타임·서비스 장애에 대한 면책 조항을 신설하고, 일정 규모 이상 사업자의 VDP(취약점 공개 정책) 운영 및 선의의 보안 연구자에 대한 면책 근거를 마련하는 한편, ‘정보통신기반 보호법’ 개정을 통해 긴급 점검 절차의 법적 근거와 금융·공공기관 AI 기반 자동 대응(AI-SOC) 도입 근거를 마련할 필요가 있다고 제언했다.
마지막으로(장기), 분산된 법체계를 통합하는 (가칭)사이버안보법을 제정하고, 단일 컨트롤타워와 국제·민관 정보공유 체계를 법제화할 필요가 있다고 강조했다.
변화 속도 빠른 보안·AI 영역만 분리해 구독·서비스형으로 결합하는 ‘하이브리드 전환’ 필요
이어진 토론에서 윤두식 국가인공지능전략위원회 위원은 국내 공공기관의 보안 패치는 수주에서 수개월이 소요돼 AI 기반 공격 속도를 따라가기 어려운 상황이나, 공공 IT 전체를 폐기·재구축하는 것은 불가능하므로 기존 핵심 시스템은 그대로 유지하되, 변화 속도가 빠른 보안·AI 영역만 분리해 구독·서비스형으로 결합하는 ‘하이브리드 전환’이 필요하다고 제언했다. 이를 위해 정부 표준 API(Application Programming Interface)·데이터 모델 의무화, 클라우드서비스 보안인증(CSAP) 자동화 및 서비스형 소프트웨어(SaaS) 별도 트랙 신설, 국가계약법상 다년 구독 계약 근거 명문화, 정부 패치 허브 운영이 필요하다고 강조했다.
지은경 과기부 정보보호기획과 과장은 AI 보안주권을 확립하는 것이 무엇보다 중요하며, 사람 중심의 보안 운영체계를 AI 기반으로 신속하게 전환하는 한편, 양자 등 원천적인 방어체계 확립도 시급하다고 밝혔다. 아울러, 기업이 보유한 IT 자산을 정확히 식별·관리하고, 공격자의 공격표면을 최소화하기 위한 점검과 훈련을 강화할 필요가 있으며, CEO의 보안 관심과 투자 확대를 비롯해 기관·기업 전반에 제로트러스트를 확산함으로써 보안 수준을 상향 평준화해야 한다고 강조했다.
이해원 강원대 법학전문대학원 교수는 사이버위협 관련 정보공유가 원활하지 않다는 지적이 지속되고 있으므로 정보 공유체계가 현장에서 보다 효과적으로 작동할 수 있도록 제도 개선이 필요하다고 제언했다.
홍일표 국회입법조사처 사회문화조사실 실장은 미토스 등장이 ChatGPT·딥시크 등장에 버금가는 중대한 사건임에도 불구하고, 정부와 사회 전반의 위기의식과 대응은 여전히 부족한 수준이라고 지적했다. 이에 국가 컨트롤타워를 중심으로 범정부 차원의 신속한 대응이 필요하며, 현재의 소버린 AI 전략을 넘어서는 ‘소버린 AI 보안 전략’을 조속히 추진할 필요가 있다고 제언했다.
황현희 국회입법조사처 과학방송통신팀 팀장은 7월 미토스 공개 보고서 발표가 예정되어 있음에도 정부 차원의 전략이 미흡함을 지적하고, 기존의 경계 기반 망분리 중심 보안체계로는 AI 활용 및 AI기반 사이버위협 대응에 한계가 있을 수 있다는 의견을 제기했다.
[원병철 기자(boanone@boannews.com)]
“소버린 AI 전략 넘어서는 ‘소버린 AI 보안 전략’ 조속히 추진해야”
[보안뉴스 원병철 기자] 미토스의 등장 이후 챗GPT 5.5 사이버, 마이크로소프트 MDASH 등 다양한 사이버보안 강화 AI가 등장하면서 전 세계의 이목이 쏠리고 있지만, 아직 특정 기업에만 공급되는 등 불균형 문제가 이어지고 있다. 이에 보안전문가들은 이러한 문제를 지적하며 국가적 리스크로 관리해야 한다는 의견을 내고 있다.
[출처: gettyimagesbank]
이미 현실에서는 공격자와 방어자 양측에서 AI 활용이 본격화하면서, 공격 진영에서는 AI 기반 자율·대규모 공격으로의 패러다임 전환이 이뤄지고 있으며, 방어 진영에서도 AI 에이전트가 수십 년간 발견되지 않았던 제로데이(0-day) 취약점을 자율적으로 발굴하는 수준에 도달했다.
국회입법조사처가 개최한 ‘국회입법조사처 과학방송통신팀 전문가 간담회’에서 이상근 고려대 AI 보안연구소장은 “‘미토스’ 이후 사이버공격의 진입장벽이 크게 낮아지고, 공격 속도 또한 인간 대응 수준을 넘어 기계 수준으로 빨라지는 등 사이버 위협의 패러다임 변화가 나타나고 있다”고 지적하며, “행위 기반 탐지와 자동(실시간) 패치의 중요성이 커지고 있다”고 강조했다. 아울러 “글로벌 사이버보안 환경은 앤트로픽의 ‘Glasswing’, OpenAI의 ‘Trusted Access for Cyber’ 등 방어적 사이버보안 이니셔티브를 중심으로 형성되고 있다”고 설명했다.
또한, 최근 미국 국립표준기술연구소(NIST)의 취약점 데이터베이스(NVD) 축소로 취약점 관리 ‘글로벌 표준’이 붕괴하고 있는데, 우리나라는 이를 보완할 국가 취약점 정보 보강 체계가 없다는 점도 함께 지적했다.
“영국만 해도 사이버보안 및 복원력 법안(CS&R Bill), 무료·개방형 국가 조기경보 체계 등을 갖췄는데, 한국은 사이버 통합법 부재, 자산 매칭 기반 조기경보체계 미흡, SBOM(소프트웨어 자재 명세서) 의무화 부재 등의 공백이 존재합니다.”
이외에도 이 소장은 정보 비대칭(Glasswing 소외), 공공·금융권의 느린 패치 속도, 보안 인력·예산 부족, AI 보안 기술주권 부재, 레거시 시스템 및 오픈소스 의존도 등의 한계도 함께 지적하며, AI 정책의 중심이 ‘산업 육성’에서 ‘국가 리스크 관리’로 전환될 필요가 있다고 덧붙였다.
한국형 NVD 운영 근거 등 관련법 강화해야
이 교수는 현행 사이버보안 대응체계의 한계를 해결하기 위한 법령 등 개정 방안을 3단계로 제시했다.
첫째(단기), 관련 시행령·고시 등 개정을 통해 주요정보통신기반시설의 긴급 패치 시 사전심의 면제 등 긴급 패치 약식 절차를 마련하고, 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 기준에 SBOM 작성·공격경로 분석·AI 취약점 스캐닝 등을 반영하며, 한국형 NVD 운영 근거를 마련하는 한편, 국정원 사이버보안 실태평가 항목에도 AI 취약점 스캐닝 등을 포함할 필요가 있다고 제안했다.
둘째(중기), ‘정보통신망법 이용촉진 및 정보보호 등에 관한 법률’을 개정해 긴급 패치 적용 과정에서 발생한 다운타임·서비스 장애에 대한 면책 조항을 신설하고, 일정 규모 이상 사업자의 VDP(취약점 공개 정책) 운영 및 선의의 보안 연구자에 대한 면책 근거를 마련하는 한편, ‘정보통신기반 보호법’ 개정을 통해 긴급 점검 절차의 법적 근거와 금융·공공기관 AI 기반 자동 대응(AI-SOC) 도입 근거를 마련할 필요가 있다고 제언했다.
마지막으로(장기), 분산된 법체계를 통합하는 (가칭)사이버안보법을 제정하고, 단일 컨트롤타워와 국제·민관 정보공유 체계를 법제화할 필요가 있다고 강조했다.
변화 속도 빠른 보안·AI 영역만 분리해 구독·서비스형으로 결합하는 ‘하이브리드 전환’ 필요
이어진 토론에서 윤두식 국가인공지능전략위원회 위원은 국내 공공기관의 보안 패치는 수주에서 수개월이 소요돼 AI 기반 공격 속도를 따라가기 어려운 상황이나, 공공 IT 전체를 폐기·재구축하는 것은 불가능하므로 기존 핵심 시스템은 그대로 유지하되, 변화 속도가 빠른 보안·AI 영역만 분리해 구독·서비스형으로 결합하는 ‘하이브리드 전환’이 필요하다고 제언했다. 이를 위해 정부 표준 API(Application Programming Interface)·데이터 모델 의무화, 클라우드서비스 보안인증(CSAP) 자동화 및 서비스형 소프트웨어(SaaS) 별도 트랙 신설, 국가계약법상 다년 구독 계약 근거 명문화, 정부 패치 허브 운영이 필요하다고 강조했다.
지은경 과기부 정보보호기획과 과장은 AI 보안주권을 확립하는 것이 무엇보다 중요하며, 사람 중심의 보안 운영체계를 AI 기반으로 신속하게 전환하는 한편, 양자 등 원천적인 방어체계 확립도 시급하다고 밝혔다. 아울러, 기업이 보유한 IT 자산을 정확히 식별·관리하고, 공격자의 공격표면을 최소화하기 위한 점검과 훈련을 강화할 필요가 있으며, CEO의 보안 관심과 투자 확대를 비롯해 기관·기업 전반에 제로트러스트를 확산함으로써 보안 수준을 상향 평준화해야 한다고 강조했다.
이해원 강원대 법학전문대학원 교수는 사이버위협 관련 정보공유가 원활하지 않다는 지적이 지속되고 있으므로 정보 공유체계가 현장에서 보다 효과적으로 작동할 수 있도록 제도 개선이 필요하다고 제언했다.
홍일표 국회입법조사처 사회문화조사실 실장은 미토스 등장이 ChatGPT·딥시크 등장에 버금가는 중대한 사건임에도 불구하고, 정부와 사회 전반의 위기의식과 대응은 여전히 부족한 수준이라고 지적했다. 이에 국가 컨트롤타워를 중심으로 범정부 차원의 신속한 대응이 필요하며, 현재의 소버린 AI 전략을 넘어서는 ‘소버린 AI 보안 전략’을 조속히 추진할 필요가 있다고 제언했다.
황현희 국회입법조사처 과학방송통신팀 팀장은 7월 미토스 공개 보고서 발표가 예정되어 있음에도 정부 차원의 전략이 미흡함을 지적하고, 기존의 경계 기반 망분리 중심 보안체계로는 AI 활용 및 AI기반 사이버위협 대응에 한계가 있을 수 있다는 의견을 제기했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
