기술혁신과 정보보호 균형 새 과제 부상

AI 기반 공격 확산에 기존 법제가 한계를 드러내고 있다. 통신사 해킹이 잇따르면서 정부는 인공지능 보안 체계를 강화할 독립 법안 제정을 검토 중이다. 기술 혁신 속 정보 보호의 균형이 새 과제로 떠올랐다.

LG유플러스가 23일 한국인터넷진흥원(KISA)에 서버 해킹 정황을 신고하며, 올해 국내 통신 3사 모두가 사이버 침해를 보고한 첫 해로 기록됐다. AI 기술이 침투한 해킹의 빈도가 높아지자, 정부는 기존 정보통신망법·개인정보보호법 체계로는 대응이 어렵다고 보고 ‘AI 보안법(가칭)’ 제정을 추진하고 있다.

◆ 통신 3사 연속 해킹, 기존 법제의 한계 드러나

LG유플러스는 23일 한국인터넷진흥원에 서버 침입 정황을 신고했다. 앞서 KT와 SK텔레콤도 비슷한 피해를 보고한 바 있어, 주요 통신 인프라가 모두 공격 대상이 된 셈이다. 외주 보안업체를 통한 간접 침투, 내부 계정 탈취 등 복합형 공격이 공통된 특징으로 꼽힌다.

문제는 현행 법체계가 인공지능이 개입된 공격 유형을 정의하지 못한다는 점이다. 정보통신망법은 단순 침입과 악성코드 유포에 초점을 맞춰, AI 모델을 이용한 자동화 공격의 책임 주체를 규정하지 못하고 있다. 개인정보보호법 역시 AI 학습 과정에서 발생한 데이터 유출이나 오남용을 명시적으로 다루지 않는다.

한국인터넷진흥원(KISA)의 2024년 사이버위협 보고서에 따르면, 지난해 AI 연계형 공격은 전체 탐지 건수의 27.4%를 차지했다. AI가 비밀번호 조합과 접근 경로를 실시간 생성해 공격하는 방식이 확산되면서, 전통적 보안 필터링만으로는 탐지가 어려운 상황이다. 전문가들은 “AI 기술의 자율성이 높을수록 법적 공백이 커진다”고 지적한다.

결국 기존 법제는 ‘사후 처벌 중심’으로 작동해, 피해 발생 후에야 법적 대응이 가능하다. 이에 따라 정부는 사전 예방 중심의 보안체계를 구축할 별도 법률 제정을 서두르고 있다.

◆ 인공지능 시대, 보안 패러다임의 전환점

과학기술정보통신부는 올해 초 ‘AI 보안 로드맵’을 발표하며 ‘보안 내재화(Security by Design)’를 정책 핵심으로 제시했다. 이는 서비스 설계 단계에서부터 보안을 기본 구조로 포함하자는 접근이다. 그러나 해당 로드맵은 행정지침 수준에 그쳐 법적 구속력이 없다는 한계가 있다.

OECD는 2023년 「디지털 보안 거버넌스 보고서」에서 “AI 기반 위협은 판단 주체가 인간이 아닌 시스템이기 때문에 책임 소재 명확화가 정책의 출발점이 되어야 한다”고 강조했다. 미국과 일본은 이미 AI 시스템 인증제 도입을 추진 중이며, AI 보안 정책을 사이버 방위 전략의 일부로 편입했다.

국내 전문가들은 한국형 AI 보안체계의 정착을 위해 법률·기술·산업 간 협력 구조가 필요하다고 제언한다. 한국정보보호산업협회는 “국가 차원의 법적 근거와 민간 인증체계가 병행되어야 한다”며 정부 주도의 인증위원회 설립을 제안했다.

보안의 패러다임은 이제 ‘탐지 후 대응’에서 ‘내재화된 방어’로 옮겨가고 있다. 데이터 보호, 모델 검증, AI 행동 모니터링 등 다층 방어 체계가 핵심이 될 전망이다.

◆ 기업의 대응과 투자, 성과는 아직 제한적

대형 통신사들은 연이은 사고 이후 AI 기반 보안체계 구축에 속도를 내고 있다. LG유플러스는 보안 인력을 15% 증원하고, SK텔레콤은 클라우드와 AI 탐지엔진 통합을 추진 중이다. KT 역시 ‘제로트러스트(Zero Trust)’ 원칙을 도입해 내부망 접근 권한을 세분화했다.

그럼에도 AI 보안에 대한 투자는 여전히 전체 IT 예산의 10%를 넘지 못한다. 한국정보보호산업협회(KISIA) 2024년 통계에 따르면, 국내 기업의 AI 보안 기술 도입률은 31%에 그쳤다. 중소기업은 보안 전문인력 부족과 비용 문제로 기술 도입에 어려움을 겪고 있다.

국제 비교에서도 격차가 확인된다. 일본은 2024년 ‘AI 보안산업 육성전략’을 발표해 보안 스타트업 육성펀드를 조성했고, 미국은 연방정부 주도로 AI 보안 평가센터를 설립했다. 한국도 법제 기반이 마련돼야 민간 투자와 기술 혁신이 동반될 수 있다는 평가가 나온다.

기업 관계자들은 “AI 보안 인증 체계가 마련되면 기술 개발과 투자 확신이 생길 것”이라며 법적 명확성 확보를 촉구하고 있다.

◆ AI 보안법 추진 본격화…글로벌 기준 맞추는 과제

정부는 내년 중 ‘AI 보안법(가칭)’을 입법 예고해 인공지능 서비스 제공자에게 보안 의무를 부여할 계획이다. 과기정통부는 국가 인증체계 구축, 보안 위반 시 행정 제재 도입, AI 서비스 수준별 등급제를 포함한 종합 법안을 검토 중이다.

EU는 2024년 채택한 「AI Act」를 통해 고위험 AI 시스템에 대해 보안 인증과 데이터 투명성 의무를 부과했다. 미국도 연방규제위원회(NIST) 주도로 ‘AI 리스크 관리 프레임워크’를 시행 중이다. 한국이 이들과의 제도 정합성을 확보할 경우, 글로벌 기업 간 협력 및 정보공유에도 긍정적 효과가 기대된다.

개인정보보호위원회는 별도로 ‘AI 개인정보보호 가이드라인(2025년 개정안)’을 통해 학습용 데이터 관리기준을 강화할 예정이다. 국회 과학기술정보방송통신위원회도 관련 법안을 병합 심사할 계획으로, 입법 논의가 본격화되고 있다.

다만 업계는 행정비용 부담을 이유로 단계적 시행을 요구하고 있다. 전문가들은 “보안법이 산업 규제가 아닌 신뢰 인프라로 기능해야 한다”고 입을 모은다.

☑️ 요약:
통신 3사 해킹 사태를 계기로 AI 기반 보안체계의 법적 공백이 드러났다. 정부는 인공지능 서비스 제공자에 대한 의무와 인증체계를 포함한 AI 보안법 제정을 추진 중이다. 기업들은 대응에 나섰지만 기술 내재화는 초기 단계에 머물러 있어, 국제 기준에 부합하는 법제화와 민관 협력이 향후 핵심 과제로 지적된다.