"해킹 휘청 한국...'사이버보안 기본법' 만들어야"

쿠팡의 3370만 명 고객 개인정보 유출로 대한민국 보안에 비상벨이 울린 가운데 과기정통부와 사이버보안정책포럼이 4일 서울 페럼타워에서 개최한 '2025 사이버보안 정책포럼 워크숍'에서 '사이버 보안 기본법'을 만들자는 전문가 제안이 나왔다.

이상직 법무법인 태평양 변호사(인터넷법제도포럼 이사장)는 이날 행사에서 AI 대전환 시대를 맞아 사이버 법령 재정비가 필요하다면서 "사이버보안 기본법을 만들자"고 주창했다. 이 변호사는 정보통신망법의 개인정보 분야는 이미 개인정보보호법으로 이관됐다면서 "정보통신망 확충은 상당 부분 목적을 달성했다. AI 대전환 시대를 맞아 보안 프레임 중심의 '사이버 보안 기본법'으로 개편해야 한다"면서 "징후 탐지, 정보 공유, 방어단계별 신고 및 조치 등 각종 제도의 연계성 강화도 필요하다"고 밝혔다.

사이버 보안 생태계와 거버넌스 구축 및 강화도 필요하다고 짚었다. 개별 기관만의 대응으로는 사이버 침해 방어에 한계가 있다는 것이다. 이에, 생태계 중심의 동태적 보안 강화와 지원이 필요하며, 정부(과기정통부, 국가사이버보안센터, 개보위)와 산학민 연계시스템 구축을 제안했다.

"메가 보안기업을 만들어야 한다"고도 강조했다. 미국 크라우드스트라이크는 연간 매출이 4조원이라면서 우리나라도 보안을 핵심사업으로 하는 메가기업을 만들자는 것이다. 보안 기술개발을 강력히 진흥해야 한다면서 정보보호산업진흥에 관한 법률과 국가보안기술연구원법의 제개정이 필요하다고도 덧붙였다.

과기정통부와 사이버보안정책포럼이 개최한 '2025 사이버보안 정책포럼 워크숍'이 4일 서울 페럼타워에서 열렸다.

이 변호사는 바람직한 사이버 보안 방어 생태계로 '농경모델'을 제시, 시선을 모았다. 농경시대에는 참여 가구가 모두 협력해 농사를 지었듯이 오늘날에도 민관이 협력해 정보를 공유, 외부 도둑 침입에 공동으로 대응, 응징하자는 것이다.

EU와 미국, 일본 등 해외주요국의 사이버보안 법제도 소개했다. EU는 NIS2 지침과 사이버복원력법(CRA)을 통해 EU 전반의 공통 사이버보안 수준을 높였다. 일본은 사이버보안 기본법을 통해 기관별 책무, 기본 방침 등 국가사이버보안 확보를 위한 기반을 마련했다.

특이한 건 미국이다. 미국은 사이버보안과 관련한 기본법이 없다. 대신 개별법(주요기반 사고 보고법 등) 과 행정명령, 연방조달규정, 표준 등을 통해 규율하고 있다. 호주도 작년 11월 사이버보안법을 제정했고, 캐나다는 사이버보안에 관한 법률 제정을 추진, 올 6월 하원에 재상정했다. 영국도 제품 보안 및 통신인프라법을 2022년 12월 제정했다.

이 변호사는 "우리도 살기 위해선 AI 경제전쟁, AI 대전환에 뛰어들어야 한다"면서 이를 위해선 안전한 사회가 조성돼야 하니 "사이버보안 기본사회 진입을 위한 인식 대전환 운동이 필요하다. 사이버 공격에서 자유로운 곳이 없는 AI시대에, 사이버보안은 비용이 아니고 핵심 인프라다"고 강조했다. 이어 사이버보안은 AI 뉴노멀, 패러다임 전환을 뒷받침하는 핵심 인프라라면서 "사이버보안 생태계 구축없이 AI대전환은 없다"고 밝혔다.

윤인수 KAIST 교수 "AI시대에도 화이트해커 필요...컨텍스트 엔지니어링 중요"

미국 DARPA가 개최한 세계 최초 AI를 활용한 해킹 대회에서 '아틀란타' 팀으로 참여해 우승을 한 윤인수 KAIST 교수는 AI시대의 사이버 보안 인재상을 설명했다. 윤 교수는 AI 시대에 필요한 능력으로 ▲AI를 효과적으로 활용할 수 있는 능력 ▲AI가 생성한 결과물을 비판적으로 판단하는 능력 ▲정해진 답을 찾는 것을 넘어 문제를 스스로 발굴하고 해결하는 능력 ▲AI를 윤리적이고 책임감 있게 사용하는 능력 등 네 가지를 꼽았다.

"AI시대에도 화이트해커가 필요하다"면서 공격 방식, 데이터 활용, 적응력, 창의적 사고, 새로운 공격 기법 개발, 예측 불가능한 공격 대응 등에서 AI와 화이트해커가 차이가 있다고 짚었다.

또 "AI도구를 전략적으로 활용하는 것이 성과를 크게 좌우한다"면서 이론과 실전 모두에서 능숙해야 한다고 밝혔다. '프롬프트 엔지니어링'을 넘어선 '컨텍스트 엔지니어링'도 강조했다.

프롬프트는 AI에 작업을 요청하는 자연어 입력이며 프롬프트 엔지니어링은 LLM에 명확하고 효과적인 명령을 설계하는 기술이다. 이보다 더 진화한 '컨텍스트 엔지니어링'은 단일 작업이 아닌 LLM 추론 전체 과정에서 어떤 정보를 언제 어떻게, 또 어떤 정보는 배제할 지를 설계하는 걸 말한다.

'소프트웨어 3.0'이라는 개념을 제시한 세계적 AI 및 딥러닝 연구자인 안드레 카파시가 한 말도 인용했다. 카파시는 AI사용 탐지는 불가능하며, 평가의 중심을 '교실내 활동'으로 이동해야 하고, AI 활용 능력외에 AI 없이도 버티는 능력이 필요하다고 말한 바 있다.

윤 교수는 AI시대를 맞아 소프트웨어 공학도 중요해졌다면서 자신이 가르치는 학생들에게도 이를 가르치고 있다고 들려줬다.

이석준 가천대 교수 "제로트러스트는 특정 기술 아닌 보안 방법론이자 패러다임"

가천대 이석천 교수는 제로트러스트(Zero Trust)를 주제로 강연했다. 제로트러스트는 현대 사이버보안에서 가장 중요한 개념 중 하나로, “아무도 믿지 말고 항상 검증하라(Trust no one, always verify)”는 원칙을 말한다. 제로트러스트에 대해 이 교수는 "3년전만해도 생소한 단어였는데 지금은 많은 사람들이 잘 이해하고 있다. 3년전과 비교하면 상전벽해 기분이 살짝 든다"면서 "제로트러스트에 대한 오해가 있다. 제로트러스트는 특정 기술이 아니다. 보안 방법론과 패러다임으로 받아들여야한다"고 짚었다.

이어 "경계를 제거하자는 게 아니다. 경계를 더 잘하게 하자는 것"이라면서 "제로트러스트는 약간 도덕같은 게 있는데, 조직의 보안 도덕성을 실험하는 기준으로 보안 프레임워크와는 다르다. 보안 프레임워크는 제로트러스트의 도덕성을 강제하는 법률과 절차에 가깝다"고 진단했다.

이어 망분리 기술을 사용한다고 제로트러스트 철학을 달성했다고 말할 수 없다면서 "(제로트러스트는) 보안성과 문화 등을 다 고려해야 한다"고 덧붙였다. 한국형 제로트러스 필요성도 밝혔다. 제로트러스트는 미국이 가장 먼저, 또 잘 만들었고, 글로벌 표준을 따라가는 게 맞지만, 한국의 특수성(제조업 비중 높은 산업 구조 등)을 고려한 제로트러스트가 필요하다는 것이다.

미국도 제로트러스트가 완벽하지 않다면서 "(우리나라) 민간은 제로트러스트 인식 확산이 필요하고, 공공은 미국처럼 제로트러스트 도입 의지를 정책에 반영해야 한다"고 강조했다.

이상중 KISA 원장 "법제도 정비부터 전문인력 양성까지 실질적인 전략 논의"

사이버보안 정책 포럼 공동의장을 맡고 있는 KISA 이상중 원장은 축사에서 "오늘은 AI 기술이 촉발하는 새로운 사이버 위협을 분석하고, 더 안전한 디지털 환경 구축을 위한 정책 방향을 모색하는 뜻깊은 날"이라면서 "우리는 지금 AI가 모든 것을 재편하는 대전환의 한가운데 서 있다. AI는 선택이 아닌 필수가 되었고, AI가 곧 국가 경쟁력을 결정하는 시대"라고 진단했다.