AI가 뚫어놓은 '보안의 구멍'…기존 방어법으로는 무용지물
AI 도입 확산에 따라 공격 표면이 급격히 확대되고 있는 가운데 기존 레거시 보안 체계의 한계가 드러나고 있다. MIT Technology Review 'EmTech AI 2026' 컨퍼런스에서 GC Cybersecurity의 타리크 무스타파 CEO는 기존 사후 대응형 보안 접근법을 비판하고, 처음 설계 단계부터 AI를 핵심에 고려한 'security by design' 원칙이 필요하다고 주장했다. 한국 기업들도 노후 인프라 업그레이드와 AI 모델 거버넌스 수립이라는 동일한 과제에 직면해 있다.
AI가 기업 시스템 깊숙이 스며들면서 사이버보안의 취약점도 급속도로 증가하고 있다. MIT 테크놀로지 리뷰가 개최한 'EmTech AI 2026' 컨퍼런스에서 AI 시대 사이버보안의 재설계 필요성을 주제로 한 세션이 열렸다. 기존의 레거시 보안 체계로는 AI가 촉발하는 복잡한 공격 시나리오에 대응할 수 없다는 게 업계 전문가들의 공통 진단이다.
레거시 보안, AI 시대에 '한계'
기업들은 이미 보안 부담으로 골머리를 앓고 있었다. 네트워크 침투 탐지(IDS), 침투 방지(IPS), 데이터 손실 방지(DLP) 같은 다층 보안 시스템을 갖춰도 신종 위협은 끊이지 않았다. 하지만 AI가 기업 운영에 깊숙이 관여하면서 상황이 질적으로 악화되고 있다.
AI 기술이 가져온 변화는 크게 두 가지다. 첫째, 공격 표면(attack surface)의 급격한 확대다. AI 모델, 학습 데이터, 추론 엔진, API 연계 등 새로운 진입점들이 기하급수적으로 늘어났다. 둘째, 공격 방식의 고도화다. 적대적 공격(adversarial attack), 모델 중독(model poisoning), 프롬프트 인젝션(prompt injection) 같은 AI 특화 공격 기법들이 나타나면서 기존 탐지·차단 로직이 작동 불능 상태에 빠지고 있다.
GC Cybersecurity의 공동 창업자이자 최고경영자(CEO) 겸 최고기술책임자(CTO) 타리크 무스타파는 "기존 보안 접근법은 사후 대응형이다. 하지만 AI 시대에는 처음 설계 단계부터 보안을 핵심에 끼워 넣어야 한다"고 강조했다.
무스타파는 20년 이상 보안 분야에서 기술 리더십을 펼쳐온 인물이다. Symantec, EDS, DHL 에어웨이즈 IT 등 주요 기업에서 근무했으며, 데이터 분류(Data Classification), DLP, 데이터 보안 태세 관리(DSPM) 등 데이터 보안의 핵심 영역에 깊은 전문성을 지니고 있다. 그는 또 자율협력 AI(autonomously collaborative AI)를 활용해 초대규모 사이버보안 및 데이터 규정 준수 문제를 푸는 데 집중해왔다.
'AI 파워드' 보안 재설계의 시작
업계가 주목하는 해법은 AI 기술 자체를 보안 도구로 활용하는 것이다. 전통적인 규칙 기반 탐지에서 벗어나 머신러닝 기반의 이상 탐지(anomaly detection)로 전환하고, 대규모언어모델(LLM)을 이용해 실시간 위협 분석을 수행하는 식이다.
GC Cybersecurity가 개발한 4세대, 5세대 완전 자율 데이터 유출 방지(DLP) 및 정보 유출 방지 플랫폼이 이 방향성의 사례다. 기존 DLP는 규칙 목록과 키워드 매칭에 의존해 90% 이상의 거짓 경보를 야기했다. 반면 AI 기반 솔루션은 데이터 문맥을 이해하고 진정한 유출 위협을 구분해낸다.
다만 새로운 도구도 새로운 위험을 낳는다. AI 모델 자체가 공격 대상이 될 수 있고, AI를 이용한 정교한 사이버 공격도 진화하고 있다. 무스타파는 "자율협력적 AI를 통해 인간 분석가의 판단력을 증폭하되, AI가 완전히 자동화된 시스템이 돼서는 안 된다"고 주의를 당부했다.
한국 기업의 준비 상황
한국 기업들도 AI 도입 속도가 빨라지면서 동일한 위협에 직면하고 있다. 금융, 제조, 통신 등 주요 산업의 대형 기업들이 생성형 AI를 적극 도입하는 한편, 개인정보보호법(PIPA)과 신용정보법 등 국내 규정도 점차 엄격해지고 있다.
특히 한국 기업들이 직면한 과제는 기존 보안 인프라의 노후화다. 많은 대기업이 10년 이상 된 DLP 솔루션에 의존하고 있으며, 이들 시스템은 AI 시대의 새로운 위협을 탐지할 능력이 없다. 중소기업의 상황은 더 심각해서, 기본적인 접근 제어(access control)도 미흡한 상태에서 AI 도입을 추진 중이다.
이에 따라 한국 기업들은 ▲기존 보안 시스템의 AI 기반 업그레이드 ▲데이터 분류 및 민감도 평가의 자동화 ▲AI 모델 거버넌스 수립 같은 3가지 과제에 직면해 있다.
패러다임 전환의 시점
AI가 기업 경영에서 선택이 아닌 필수가 되는 시점, 보안도 함께 재설계돼야 한다는 게 업계의 합의다. 단순히 새로운 공격 패턴을 추가로 탐지하는 수준을 넘어, 처음부터 AI를 고려한 'security by design' 원칙으로 돌아가야 한다는 뜻이다. 한국 기업들도 이 패러다임 전환의 물결 속에서 얼마나 빠르게 대응하느냐가 디지털 시대 경쟁력을 좌우할 것으로 보인다.
편집 안내 | 이 기사는 AI 기술을 활용하여 글로벌 뉴스 소스를 분석·종합한 후, AIB프레스 편집팀의 검수를 거쳐 발행되었습니다. 정확한 정보 전달을 위해 노력하고 있으며, 원문 출처를 함께 제공합니다.
