[서울=뉴시스]윤정민 기자 = 인공지능(AI)을 앞세운 사이버 공격이 빗발치면서 기존 보안 체계로는 감당하기 어렵다는 경고등이 켜졌다. 해커는 AI로 공격을 자동화하는데, 방어는 사람이 일일이 수작업으로 하는 구조적 한계 때문이다.

김휘강 AI스페라 공동 창업자(고려대 정보보호대학원 교수)는 14일 서울 강남구 그랜드 인터컨티넨탈 파르나스에서 열린 '크리미널 IP 컨퍼런스 2026'에서 "이제 보안도 물량전의 시대"라며 방어 체계의 전면적인 전환을 촉구했다.

◆방치된 자산이 해킹 통로… "내 집 앞마당부터 살펴야"

김 교수는 현재 보안 현장의 가장 큰 문제로 '속도 차이'를 꼽았다. AI는 취약점을 찾아내 공격하는 과정을 자동화해 하루에도 1000개 이상의 공격을 퍼붓는데, 전문인력이 수작업으로 시스템 약점을 점검하는 '모의해킹'은 보통 4주가 소요된다는 설명이다.

김 교수는 "공격자가 AI로 하루 수천 건의 공격을 자동화하는 시대"라며 "사람 중심의 컨설팅만으로는 대응에 분명한 한계가 있다"고 지적했다. 속도전과 물량전에서 이기려면 방어 역시 AI 기반의 자동화 체계를 갖춰야 한다는 설명이다.

그는 대규모 해킹 사고의 상당수가 최첨단 기술 때문이 아니라 '방치된 자산'에서 시작된다는 점을 꼬집었다. 김 교수는 "지난해 SK텔레콤, 쿠팡 등에서 발생한 침해사고 역시 기본적인 보안패치조차 안된 서버들이 화근이 된 경우가 많다"며 "이를 방지하려면 자산 식별과 보안 패치 관리부터 꾸준히 해야 한다"고 했다.

이를 막기 위한 대안이 '공격표면관리(ASM)'이다. 내 집 앞마당에 무엇이 있는지 살피듯, 기업 외부에 노출된 서버나 클라우드 등 공격당할 수 있는 자산을 실시간으로 식별하고 관리하는 기술을 말한다. 김 교수는 "체크리스트만 채우는 진단에서 벗어나, 해커의 시각에서 실제 침투 경로를 상시 점검해야 한다"고 강조했다.

정부도 최근 보안 강화에 팔을 걷어붙였다. 내년부터 공공기관 58곳의 주요 시스템에 대해 연 1회 이상 모의해킹과 취약점 점검을 의무화할 계획이다.

하지만 현장의 고민이 깊다. 김 교수는 "공공기관은 보안 전담 인력이나 예산이 턱없이 부족한 상황"이라며 "의무 점검이 자칫 상당한 행정적 부담으로만 작용할 수 있다"고 우려했다. 결국 부족한 인력을 대신해 AI가 자산을 식별하고 약점을 찾아내는 자동화 도입이 시급하다는 분석이다.


◆"AI 공격은 1일, 방어는 4주"… 보안 사각지대, 자동화가 유일한 답

김 교수는 대안으로 ASM과 지속적 위협 노출 관리(CTEM), AI 기반 펜 테스트를 결합한 구조를 제시했다. 펜 테스트는 숙련된 보안 전문가가 실제 해커처럼 시스템 침투를 시도해 취약점과 공격 가능 경로를 점검하는 모의해킹 방식이다.

즉 ASM으로 상시 자산 식별과 취약점 스캔을 자동화하고 AI 에이전트 기반 펜 테스트로 최신 취약점과 익스플로잇 코드를 지속 검증해야 한다는 게 김 교수 주장이다.

김 교수는 "보안 전문가가 자동화된 취약점 진단 분석 결과를 바탕으로 최종 전략과 검토에 집중하는 방향으로 바뀔 것"이라며 "ASM과 펜 테스트는 이제 상수처럼 항상 수행해야 하는 활동이 될 것"이라고 말했다.

이날 컨퍼런스에서 AI스페라는 차세대 보안 전략인 'AITEM'을 공개했다. 기존 ASM이 단순히 우리 집 문이 어디 있는지 보여주는 수준이었다면, AITEM은 AI가 어떤 문이 위험한지 분석하고 우선순위를 정해 대응까지 돕는 개념이다.

강병탁 AI스페라 대표는 "이제는 AI 에이전트가 보안 운영을 자동화하는 시대"라며 "AI가 보이지 않는 위협인 '섀도 IT'를 탐지하고 취약점에 즉각 대응하는 체계로 발전하고 있다"고 설명했다.


◎공감언론 뉴시스 alpaca@newsis.com