윤두식 보안TF 위원 "한국, 제로데이 방어 환경 아냐"

"AI 3대 강국 목표를 세웠지만, 실행이 되려면 AI 기본 사회 기본을 갖춰 놔야만 하는데 AI 기본 사회 밑에는 보안이 깔려 있습니다."

국가인공지능전략위원회 보안TF 위원인 윤두식 이로운앤컴퍼니 대표는 지난 17일 한국정보보호학회가 주관해 코엑스에서 열린 '제32회 정보통신망 정보보호 컨퍼런스'에서 'AI 시대의 국가 AI 보안 전략과 기본 방향'을 주제로 발표했다.

윤 대표는 "국내에는 매년 15% 이상씩 한국인터넷진흥원(KISA)에 침해사고 신고 접수가 늘어나고 있다. 올해가 지나면 이 비율이 더욱 늘어날 것이다"라며 "제로데이(취약점 공개 후 보안 업데이트 전 0일 만에 이뤄지는 공격) 방어를 할 수 있어야 하는데 우리나라는 제로데이를 제대로 패치할 수 있는 환경이 갖춰져 있지 않다"고 진단했다.

이날 그는 국가AI전략위의 AI 3대 강국 도약을 위한 3대 축, 12대 전략 분야 중 보안 관련 핵심 과제에 대해 세부적으로 소개하는 시간을 가졌다.

윤 대표는 "지난 2월 국가AI전략위가 전체회의를 거쳐 확정한 AI 행동계획을 보면 핵심은 ▲AI 혁신 생태계 조성 ▲범국가 AI 기반 대전환 ▲글로벌 AI기본사회 기여 등 3가지 축이다"라며 "3대 정책축과 12대 전략을 통해 AI를 새로운 도약의 발판으로 삼아 AI 기본사회를 이루는 것이 목표"라고 소개했다.

국가인공지능전략위원회 보안TF 위원으로 활동하고 있는 윤두식 이로운앤컴퍼니 대표가 17일 '정보통신망 정보보호 컨퍼런스'에서 발표하고 있다.

윤 대표가 핵심으로 짚은 보안 관련 과제는 ▲민간·공공 AI 보안 생태계 활성화(ISMS-P 개편, CVD/VDP, 화이트해서 및 보안산업 육성) ▲AI 기반 사이버보안 체계 구축(K-사이버보안 LLM, AI-ISAC, 보안 내재화) ▲AI 안보 위협 대응 및 협력 강화(사이버 안보 플랫폼, CBRN 대비, 기술유출 방지 등이다.

우선 윤 대표는 "체크리스트 기반의 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)에 '공격 표면 관리 점검' 방법을 반영하는 등 기업이 IT 자산에 대한 취약점 파악 및 관리가 가능하도록 개선할 예정이고, 올해 2분기 시행할 목표"라며 "서류에서 실전 기반의 인증 체계로 개편하는 것"이라고 강조했다.

국가AI전략위가 내세운 AI 시대 보안의 '게임 체인저'는 'CVD(Coordinated Vulnerability Disclosure)/VDP(Vulnerability Disclosure Policy)'다. 이는 보안 취약점을 발견한 자가 이를 체계적으로 신고하고, 해당 기업·기관이 조치한 뒤 공개하는 협력적 프로세스를 말한다. 윤 대표는 미국과 유럽연합 등 국가는 이런 프로세스를 제도적으로 마련해놨으나, 아직 한국은 제도화가 미비돼 있으며 로드맵을 마련해 추진할 계획이라고 설명했다.

국가AI전략위에 따르면 CVD/VDP 운영 체계는 먼저, 화이트해커 또는 보안연구자가 정보통신망·디지털 제품의 취약점을 사전에 발굴한다. 이어 CVD/VDP 전문 기관에 체계적으로 신고하는데, 이 때 합법적인 활동이 보장될 수 있도록 법령을 손질할 예정이다. 아울러 해당 기업 및 기관이 취약점을 조치하면, 패치 이후 협력적 가이드라인에 따라 취약점 정보를 공개하는 과정이다.

이 외에도 ▲글로벌 빅테크 거대 언어 모델(LLM) 종속 탈피를 위한 국내 위협 특화 분석 LLM 운영 ▲사고 사전 예측·예방 ▲민간 주도 AI 정보 공유 분석 센터(ISAC) 설립 ▲AI 보안 전문 인재 양성 ▲국산 AI 보안 솔루션 육성 및 해외 의존도 탈피 등 과제를 소개했다.