[서울=뉴시스]윤정민 기자 = 정부와 산업계가 인공지능(AI) 확산에 따른 사이버보안 위협에 대응해야 한다는 데 공감했지만 이를 뒷받침할 산업·법제 기반이 부족하다는 지적이 나왔다. AI 전환(AX) 시대에 접어들며 공격은 빠르게 고도화되고 있지만 산업 경쟁력과 정책은 이를 따라가지 못하고 있다는 설명이다.

윤두식 이로운앤컴퍼니 대표는 27일 오전 국회에서 열린 ‘AX 시대 사이버보안 강화를 위한 토론회’에서 "AI 확산으로 보안 수요와 위협은 동시에 커지고 있지만 산업 구조는 이를 뒷받침하지 못하고 있다"며 이같이 밝혔다.

최근 생성형 AI와 AI 에이전트 확산으로 딥페이크, 자동화된 랜섬웨어, AI 기반 피싱 등 새로운 유형의 사이버 공격이 빠르게 증가하고 있다.

권태경 연세대 교수가 삼성SDS 등 민간 보고서 등을 인용해 발표한 바에 따르면 지난해 전 세계적으로 AI를 활용한 피싱 공격은 전년 대비 1265% 증가했다. 또 기업 내부 인물을 사칭한 딥페이크 화상회의를 통해 수십억 원대 자금이 탈취된 사례도 발생했다.

권 교수는 "AI가 공격 도구로 활용되면서 공격이 자동화·지능화되고 있으며 보안 위협이 디지털을 넘어 물리적 영역까지 확장되고 있다"며 이를 대응할 산업·기술·정책 역량을 함께 끌어올려야 한다고 주장했다.

◆"R&D는 늘었지만 시장이 없다…보안 산업 키울 컨트롤타워 필요"

하지만 윤 대표는 국내 보안 산업의 경쟁력 한계를 지적했다. 그는 "글로벌 보안 기업인 팔로알토네트웍스는 연 매출이 12조원 수준인데 국내 최대 보안 소프트웨어 기업은 수천억원 규모에 불과하다. 시장 규모 자체에서 큰 격차가 존재한다"고 말했다.

윤 대표는 이러한 격차 원인으로 연구개발(R&D) 중심 지원 구조와 시장 창출 부재를 지목했다. 그는 "R&D 지원은 늘고 있지만 시장으로 이어지지 않는 구조가 문제"라며 "실제 사업화에서는 영업·마케팅 비중이 크다. '개발이 2, 영업·마케팅은 8'인데 지원은 개발에만 집중돼 있다"고 전했다.

이어 "스타트업은 R&D 과제를 따며 생존하지만 시장을 만들 기회는 부족하다. 결국 산업은 커지지 않고 보안 기업들이 글로벌 경쟁력을 갖추기 어려운 구조가 반복되고 있다"고 강조했다.

또 보안 산업 성장의 구조적 문제로 공공 중심 시장 구조를 꼽았다. 윤 대표는 "공공기관은 조달 등록과 각종 인증이 없으면 제품을 구매할 수 없는 구조인데 스타트업은 이를 통과하기 위해 시간과 비용을 과도하게 투입하다 시장 진입 전에 고사하는 경우가 많다"고 설명했다.

이어 "과학기술정보통신부, 중소벤처기업부, 조달청 등으로 정책이 분산돼 있어 산업을 키우는 전략적 접근이 어렵다"며 부처 간 연계를 통한 컨트롤타워 구축이 필요하다고 말했다.

또 "보안 산업이 커지지 않으면 인재도 유입되지 않는다. 시장 규모 자체가 작은 구조를 바꾸지 않으면 인재·기술·산업이 모두 정체될 수밖에 없다"고 밝혔다.

◆"AI 보안 사고, 책임은 누구에게?"…법제는 여전히 공백

한편 이근우 법무법인 화우 변호사는 AI 환경에서 보안 사고 책임 구조가 불명확하다는 점도 짚었다. 그는 데이터 제공자·모델 개발자·외부 거대언어모델(LLM) 제공자·서비스 운영자 등 다양한 주체가 얽혀 있는 AI 서비스의 특성상 단일 책임 구조로는 대응이 어렵다고 설명했다.

특히 AI 모델 학습 과정에서 데이터 오염이 발생하거나 외부 API 연동 과정에서 정보 유출이 일어나는 경우 등은 기존 법 체계로 책임을 명확히 가르기 어려운 대표 사례로 꼽힌다.

이 변호사는 "AI 기반 서비스에서는 다양한 주체가 얽혀 있어 사고 발생 시 책임을 특정하기 어렵다. 현행 법제는 이러한 전주기 위험을 충분히 반영하지 못한다"고 말했다.

이어 "전통적인 침해사고 개념과 책임 구조로는 AI 환경의 복잡한 위험을 포섭하기 어렵다. 통합적인 위험관리 거버넌스 구축이 필요하다"면서도 "보안 강화를 추진하되 산업 발전을 저해하지 않도록 균형을 맞추는 것이 중요하다"고 전했다.


◎공감언론 뉴시스 alpaca@newsis.com