한국일보 애틀랜타 전자신문

2025년 12월 15일 (월요일) D2 테크포럼 인공지능 ( AI ) 기술이사이버보안업 계의‘게임체인저’로떠올랐다. 해커들 이AI를활용해더강력한사이버공격 을할수있게된것은물론,이를막는 측에서도AI를적극활용하면서다. 남궁석 ( 사진 ) 한국트렌드마이 크로이사는 11일 서울 강남구 코엑스에서열린‘2025 한국일보 테크포럼’에서해커들이어떻게 AI를 활용하는지설명했다. 그는 “디도스 ( DDoS·분산 서비스 거부 ) 공격은 서버 자원을갉아먹어마비시키 는역할을하는데,그걸자동으로프로 그래밍시킬수있다”며“영상회의 에서딥페이크로 ‘사장님영상’ 을 만들어회사 내부정보를 빼 낸실제사례도있었다”고말했 다. 또클릭을유도하는피싱 메일을 만들 때도 AI가 사람보다 훨씬 더설득 력있게만든다고했다. 해킹방어진영도AI를 적극활용하며대응하고있다.AI를탑 재한 엔드포인트 탐지대응 ( EDR ) 과 확장 탐지·대응 ( XDR ) 시스템이대표 적이다. 남궁이사는 “EDR은악성코 드가어떻게들어와어떤행위를 했는 지폐쇄회로 ( CC ) TV처럼시간 순서대 로보여주는도구”라며“XDR은여기 에네트워크·클라우드·이메일 등여러 보안로그를통합해,최초유입부터내 부전파·정보유출까지공격의‘스토리 보드’를그려주는체계”라고설명했다. 그는 “AI를 활용해지금일어난 공격 뿐아니라,앞으로어떤경로로공격이 들어올 수 있을지까지예측해보여줄 수있다”고말했다. 이양수일루넥스이사는이어지는강 연에서AI 보안위협증가에따라신기 술·신사업을 시험해볼 수있도록 규제 를일정부분풀어주는‘규제샌드박스’ 가 필요하다고 강조했다. AI 기반 보 안기술을현장에적용하려면개인정보 보호법, 인증 기준, AI 윤리가이드라 인같은체계가뒤따라가야한다.예를 들어데이터를실시간으로받아 AI 모 델로분석하려면개인정보보호법상문 제가될수있다.이이사는 “어떤기술 을개발해도, 그것을접목했을때문제 가될수있는상황”이라며“기술을실 제사례에접목하기위해선샌드박스 를 통해 해결해야 할 점들이있다”고 말했다. 조주영금융보안원책임은 “AI 에이 전트는기존의AI보다공격표현이훨 씬넓다는점도보안우려사 항 ”이라며 “AI가보안성이확인 되 지 않 은 외 부도 구를 사용하는 것을 제한하기위해서 새 로 운 사전통제수 단 을마 련 해야한 다”고말했다. 손영하기자 11일한국일보테크포럼에서한국이 ‘해킹을 당 하기 쉬운 ’ 보안제도와정책 을 갖 고있다는지적이 나왔 다.정부기 관 은 민 간 회사 정보통신 망 의 취약 점 을 사전에파악하기어 렵 고, 기업입장 에선보안에적극 나 설인 센티브 가 부 족 하다는것이다.이같은제도의 허 점 때문에10여 년 전경고가있었 음 에도 불 구하고 최 근 K T 해킹과 같은 사 태 가발 생 했다고지적 됐 다. 한국일보 테크포럼은이 날 서울 강 남구 코엑스에서‘AI ( 인공지능 ) 시대, 디지 털 금융과기업의정보 보안전 략 ’ 이라는 주제로열 렸 다.이성 철 한국일 보 사장은개회사에서최 근 대규모정 보 유출 사고에대해 “유출 자체 도 문제지만, 기술 자체에대한 신 뢰 를 잃 게한다는 점에서 심 각 한 문제”라며“AI가 화두 가 된 시대에 AI 못 지 않 게보안 문 제도 중 요하게 다 뤄져 야 한다” 고했다. 포럼현장을 찾 은 국회과 학 기술정보방 송 통신위 원회 소속 최수진 국 민 의 힘 의원은 축 사 에서“우리 나 라가 징벌 적 손 해 배 상도 약 한데, 잘 지키는것에대한인 센티브 시스템도 없 다”며“국 민 들을안 심 시키 려면과정을 투 명하게공개해야한다” 고강조했다. 황정아더 불 어 민 주 당 의 원은“기업과전문가들이체 감 할수있 는 실 효 적인 보안 정책이마 련되 도록 하 겠 다”고 약속 했고,이해 민 조국 혁 신 당 의원은“기술발전을저해하지 않 으 면서국 민 의 권 리와 국가의보안역 량 을 강 화 할 수있는 법, 제도 마 련 에최 선을다하 겠 다”고말했다. “소액결제없었으면해킹몰랐을것” 첫 강연에 나 선 김 용대 ( 사진 ) 한국 과 학 기술원 ( K AIST· 카 이스트 ) 석 좌 교 수는현정부정책과제도가해킹을 제대로 막지 못 하고있다고지적했다. 그는 올해발 생 한 K T 소액 결제사 건 을대표적인사례로들었다. 소액 결제 가가능하려면이 름 ,전 화번 호, 생년월 일같은정보와 함께 피해자들이 휴 대 폰 으로받은문자 혹 은자동응 답 시스 템 ( ARS ) 인증 번 호가필요하다. 김교 수는해커들이 소형 기지국 ( 펨 토 셀 ) 을 이용해피해자들의 휴 대 폰 을 도 청 해 서이정보를빼 냈 다고진 단 했다.그는 “ K T 해킹사 건 은 국가기간 망 에대 한 도 청 사고 였 고, 그 ( 해커들 ) 중 일부가 ( 소액 결제라는 ) 일 탈 을 한것으로 본 다”는주장도 폈 다. 문제는 김교 수가 펨 토 셀 을 이용한 도 청 가 능성을 201 4년 에이 미 통신 3 사에경고했 다는점이다.이 날 포 럼에선 당 시에 그가 K T 등에보여 줬 다는 도 청 시연동영상이재 생됐 다.그는“저 는 ( 시연이 후 ) 패치 가된줄 알았 다”며 “그 런 데 K T에서아마 암 호 화 를 하지 않 은것같다”고 추 정했다. 김교 수는현행제도가이같은 ‘경고 무 시’를 방 치 하는 시스템이라고 짚 었 다.예를들어기업과기 관 이‘우리서비 스·제 품 에서보안 취약 점을 찾 아서제보 해주면포상금을 주 겠 다’고열어 두 는 ‘버그 바운티 ’ 제도가그 렇 다.해 외 에선 화 이트해커가보안 취약 점을 찾 아기업 에제보하면해 당 기업이포상금을지 급 한다. 하지만 한국에선기업이아 닌 한 국인터 넷 진 흥 원 ( K ISA ) 이정부예산을 활용해지 급 한다.또 K ISA는해 당 기업 이동의하지 않 거 나 , 취약 점 패치 가 되 지 않 는다면 취약 점을공개할수 없 다. 김교 수는 “ 취약 점을 알 려주면고 쳐 야 하는데, 실제고 쳐 지는지를 끝 까지 볼수가 없 는것”이라며“ K T 펨 토 셀 처 럼제보를 받고 10 년 이 넘 었는데도 무 시하는 사 태 가 그래서 생긴 것”이라고 말했다.개인정보보호위원회가S K T에 과 징 금1, 347억 원을부과한점을들며 “보안사고가 났 을때회사들이 덮 으려 할까, 적극 신고하려할까”라고 반문 하기도했다. 정보통신망법,버그바운티제도함정 정보통신 망 법 48 조 1 항 도문제로지 적 됐 다.이조 항 은“ 누 구든지정 당 한접 근권 한 없 이또는 허 용된접 근권 한을 넘 어정보통신 망 에 침 입해서는 안 된 다”는 내용이다. 언뜻 당 연한 말인것 같지만,이조 항 때문에 K ISA 같은국 가기 관 이개 별 기업의 망 취약 점을 파 악할수 없 다는것이 김교 수의주장이 다. 그는 “한국에선 K ISA가 ( 기업 망 을 ) 스 캔 하면회사들이 소송 을 한다” 며“ 엄청나 게 큰 취약 점이발 견됐 더라 도,이 취약 점이 얼 마 나 있는지정부가 파악할수 없 다”고했다. 개인 컴퓨 터에설 치 하는 금융·공공 보안 소 프트 웨 어도 해킹 취약 점으로 지목 됐 다. 김교 수는 “실제 북 한 해커 들이우리금융 보안 소 프트 웨 어 취약 점을해킹해서악용한 사례가 많 다”며 “우리연구진이보안 소 프트 웨 어 7종 에대해분석한결과 취약 점을 약 3 0개 나찾았 다”고말했다.이 런소 프트 웨 어 가서버측보안을강 화 해야할책임을 일반사용자에게전가하는방 식 이라는 게 김교 수의시 각 이다. 그는 3년 주기 의정보보호 관 리체계 ( IS M S ) 인증제 도에대해서도“인증을받는것이목표 지, 공격을 안 당 하는 게목표가 아 닌 상 태 ”라고비 판 했다. 이 날 포럼에는 정부 측도 참 여했다. 이정 렬 개인정보보호위원회부위원장 은 “지금까지는정보유출이발 생 하면 사 후 제재 중심 으로 접 근 했지만 한계 가있었다”며“사전적이고선제적인예 방 중심 보호 체계로 전 환 하 겠 다”고 말했다. 최우 혁 과 학 기술정보통신부 네트워크정책실장은 “이자리에서 나 오 는의 견 을 잘 수 렴 하고 견 고한정보 보호체계,개인정보보호체계를구 축 해가 겠 다”고 약속 했다. 손영하기자 “KT 펨토셀 해킹 10년전에이미경고$ 현행 제도가 못 막은 것” 디도스^딥페이크 vs 악성코드탐지$“AI의공격, AI가 방어하는시대” 11일서울강남구코엑스컨퍼런스룸에서열린 ‘2025 한국일보테크포럼’에참석한주요인사들이기념촬영을하고있다. 왼쪽부터남궁석한국트렌드마이크로이사, 한진열제이씨지전무, 최우혁과 학기술정보통신부네트워크정책실장, 김용대카이스트교수, 최수진국민의힘의원, 이성철한국일보사장, 이정렬개인정보보호위원회부위원장, 안기동 (주)유넷시스템즈대표이사, 이시종이글루코퍼 레이션전무,이양수일루넥스이사. 정다빈기자 해외선보안취약점찾아제보땐 ‘버그바운티’기업이포상금줘 한국에선정부예산활용해지급 KISA접근막는통신망법도문제 개보위“정보유출사후제재한계 선제예방중심보호체계로전환” AI 기반보안시험할수있도록 규제샌드박스로일정부분완화 개인정보보호법^인증체계정비를 AI 시대,디지털금융·기업보안전략 <소형기지국>