4차 산업 혁명 시대를 대표하는 기술 ‘인공지능(AI)’에 대한 관심이 그 어느 때보다 뜨겁습니다. ‘무주공산’ AI 분야에서 승기는 ‘인재풀’에 달렸다고 해도 과언이 아닙니다. 그런데 한국은 현재 IT강국이라는 별명이 무색하리만큼 이공계 인력난에 허덕이고 있습니다. 여기에다 AI가 촉발한 지능형 ‘사이버 공격’에 대한 대책도 미흡한 부분이 많은데요. 국가 대 국가로 붙는 AI에서 한국의 인재 현실, 사이버 보안의 현주소를 아울러 살펴보겠습니다. (편집자 주)
[뉴스토마토 오세은 기자] 인공지능(AI) 기술 발전 속 ‘사이버 보안’에 대한 위협도 한층 거세지면서 철저한 보안 역량이 요구되고 있습니다. 특히 고위험 AI의 경우 회복하기 어려운 치명타가 발생할 수 있는 만큼, AI 관련 산업진흥책과 더불어 규제의 기본 틀 마련에도 서둘러야 한다는 지적이 나옵니다.
9일 업계와 SK쉴더스 등에 따르면 실제로 ‘법원 전산망 해킹 및 자료유출 사건’을 비롯해 딥페이크(AI로 만든 영상·이미지 합성 조작물)로 인해 300억원의 가상자산 손실이 발생하는 사례가 있었습니다.
지난 4월 거대한 데이터를 학습해 인간의 질문에 인간의 언어로 답하는 AI인 거대언어모델(Large Language Model)에 의해 작성된 악성 스크립트가 사용된 악성 메일 공격이 발생했고, 5월에는 블록체인 기반의 게임 플랫폼이 해킹돼 300억원의 가상자산이 도난당하는 일이 있었습니다.
또 최근에는 한 해킹조직이 2021년 1월 17일부터 지난해 2월 9일까지 사법부 전산망에 침투해 총 1014기가바이트(GB) 규모의 자료를 빼낸 사실이 드러났습니다. 수사당국이 해당 사건을 조사한 결과, 해킹조직 ‘라자루스’ 소행으로 밝혀졌습니다.
지난해 8월 24일 서울 강남구 코엑스에서 개막한 '2023 코드게이트 국제해킹방어대회'에서 참가자가 코딩을 하고 있는 모습. (사진=뉴시스)
라자루스가 AI를 활용해 해킹한 것인지는 밝혀지지 않았지만, 전문가들은 AI 기술 발전 속도가 가팔라질수록 사이버 보안을 뚫는 기술 역시 고도화되고 점점 더 지능화될 것으로 보고 있습니다.
이재우 SK쉴더스 이큐스트(EQST)/SI솔루션사업그룹장(전무)는 ‘2024년 상반기 보안 트렌드 미디어 세미나’에서 “AI에 해당되는 보안 위협이 증대되고 있다”면서 “오픈 소스 사용에 주의해야 한다”고 말했습니다.
이어 그는 “이메일 기반, 피싱 공격, 그리고 사회관계망서비스(SNS)를 사용하면 해킹하는 입장에서는 신뢰도를 높일 수 있어 악성파일 접근에 손 쉬워져 SNS를 활용한 공격이 잦아지고 또 정교해지고 있다”고 덧붙였습니다. 이큐스트는 국내 보안 기업 SK쉴더스의 화이트 해커 그룹입니다.
글로벌 리서치 전문기관 마켓엔마켓 조사에 따르면 세계 AI 시장규모는 2023년 약 200조원으로 2030년까지 연평균 36.8% 성장률이 전망되고 있습니다. 이는 2026년까지 연평균 24% 성장률이 예상되는 서버용 D램보다도 높은 성장세를 보일 것이라는 예측치인데요.
챗GPT 출시로 전 세계 AI 시장은 지난해부터 가파르게 성장하고 있지만, 동시에 사이버 보안 취약점도 두드러질 것이란 전망이 우세합니다.
국가정보원, 과학기술정보통신부, 행정안전부, 개인정보보호위원회 등 정부 부처들이 공동으로 발간한 ‘2024 국가정보보호백서’를 보면, AI 기술의 발전은 다양한 산업 분야에서 혁신을 가져오고 있지만 동시에 사이버 보안에 대한 위협의 복잡성과 위험성도 키우고 있다고 평가하고 있습니다.
이에 따라 AI 시대에는 사이버 보안을 다각도로 대비해야 할 필요성이 대두되면서 21대 국회에서 임기 만료로 폐기된 ‘AI 기본법’ 제정이 시급하다는 분석도 나옵니다.
AI의 법률적 개념을 담고 있는 AI 기본법은, AI로 발생하는 변화에 국가가 시책을 강구하고, 기술개발 등 근거를 마련하는 내용을 골자로 합니다. 21대 국회에서 임기 만료로 자동 폐기됐다가, 22대 국회에서 다시 관련 4개 법안이 제출됐습니다.
(자료=SK쉴더스)
22대 국회에 법안이 제출됐지만, 언제 제정이 될지는 미지수입니다. 올해 5월부터 AI법(AI Act)을 시행하는 유럽연합(EU)과 비교해 한참 뒤처졌다고 볼 수 있습니다.
EU는 지난 5월 21일부터 AI법을 시행하고 있습니다. 법은 AI 기술 위험 수준에 따라 허용될 수 없는 위험(금지), 고위험, 제한적 위험, 저위험 등 4단계로 나눠 규제하고 있습니다.
허용될 수 없는 위험(금지)는 사람의 의사 결정 능력을 손상시키거나 취약성을 활용하는 것부터 특정 사람 또는 단체에 불공정한 경우, 사회적 점수 평가 또는 분류 목적을 위한 AI입니다. 특정 범죄 수사 등의 용도 이외 실시간으로 원격 생체정보 탐지 등의 기술도 사용 금지입니다. 사람 얼굴을 촬영해 정치, 인종 등 민감 정보 알아내는 등 인권침해적 AI 서비스 규제는 올해 11월부터 시행합니다.
또 ‘허용될 수 없는 위험’을 위반할 시 회사 전년도 세계 매출의 최대 7%에 해당하는 벌금을 부과할 수 있습니다. 벌금 상한선은 3500만 유로(약 521억원)입니다. EU는 AI법 시행을 위해 회원국에 ‘AI 사무국’을 두고 시행을 지원하는 과학 전문가 패널을 배치할 예정입니다.
이성엽 고려대 기술경영전문대학원 교수는 “AI가 해킹 도구로 이용될 가능성이 있는데 이는 AI 안전성 문제라서 우리가 고위험 AI 지침 측면에서 AI 기본법 제정이 필요하다”면서 “AI 기본법은 말 그대로 기본법이기 때문에 산업진흥과 규제가 균형적으로 들어가야 한다. 다만, AI 산업 활성화 차원에서 산업진흥에 초점을 맞출 필요가 있다”고 말했습니다.
오세은 기자 ose@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지