"처벌보다는 사전예방"…AI 해킹 막을 '메가 보안기업' 키워야

기사등록 2026/07/08 16:45:43

이상직 변호사, '정보보호의 날'서 AI 사이버위협 법제·산업 대응 제언

"AI 해킹, 사고 뒤 처벌론으론 늦어…보안 기술·기업 키워야"

사이버보안 기본법·전담조직·실전 점검·보안기업 대형화 제안

[서울=뉴시스] 윤정민 기자 = 이상직 법무법인 태평양 변호사(한국인터넷진흥원 인터넷법제도포럼 의장)가 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날' 행사에서 발표하고 있다. 2026.07.08. alpaca@newsis.com

[서울=뉴시스]윤정민 기자 = "내년에도 '정보보호의 날' 행사를 제대로 할 수 있을까. 혹시 내년에는 '정보위기의 날'이 되지는 않을까 모르겠다."

"침해사고가 터진 뒤 법으로 책임을 묻는 것만으로는 늦다. 결국 답은 보안 기술과 보안 기업에 있다."

정보통신기술(ICT) 법제 전문가인 이상직 법무법인 태평양 변호사(한국인터넷진흥원 인터넷법제도포럼 의장)는 AI 시대 사이버보안 해법이 '더 강한 처벌'이 아닌 '더 강한 보안기업'이라고 강조했다. AI가 취약점 탐색부터 공격 도구 생성, 악성코드 투입까지 자동화하는 상황에서는 침해사고 이후 법적 책임을 묻는 방식만으로는 한계가 있다는 판단이다.

이 변호사는 국내 보안기업이 글로벌 AI·보안 생태계에서 경쟁할 수 있도록 규모를 키우고 대기업·AI 기업과 협력할 수 있어야 한다고 주장했다.

이 변호사는 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날' 행사에서 "법적 통제는 답이 아니라고 생각한다"며 "사고가 난 뒤 법으로 책임을 묻기보다 공격을 막을 기술과 기업을 먼저 키워야 한다"고 밝혔다.

◆"신고하면 처벌부터?"…제재보다 공유 유인 필요
[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. photo@newsis.com *재판매 및 DB 금지 *재판매 및 DB 금지

최근 정부와 국회는 침해사고 신고 의무를 강화하고 이행강제금을 부과하는 등 법적 규제를 강화하는 추세다. 하지만 이 변호사는 제재 중심의 정책이 오히려 기업들의 눈치 보기만 키운다고 지적했다. 기업 입장에서는 해킹을 당하고도 괜히 신고했다가 과징금이나 형사처벌을 받을까 봐 사고를 숨길 수 있다는 것이다. 이 변호사는 "문제가 생겼을 때 기업이 적극적으로 드러내고 정보를 공유하도록 인센티브를 주는 제도가 필요하다"고 말했다.

정보보호관리체계(ISMS) 인증제도도 실전형으로 바뀌어야 한다고 지적했다. 그는 인증 이후 서비스·소프트웨어·기기·운영체제(OS)가 바뀌면 기존 인증의 의미가 약해질 수 있다며 상시 점검이 필요하다고 말했다.

이 변호사는 "서류 심사보다는 불시 테스트를 할 수 있는 실기 중심으로 바뀌어야 한다"며 "취약점 조정·공개 제도(CVD), 취약점 공개 프로그램(VDP) 등 윤리적 해커를 활용한 활동도 상시로 해야 한다"고 제안했다.

"컨트롤타워 '사이버보안청' 신설하고 보안 기업 대형화해야"
[서울=뉴시스] 윤정민 기자 = 이상직 법무법인 태평양 변호사(한국인터넷진흥원 인터넷법제도포럼 의장)가 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날' 행사에서 발표하고 있다. 2026.07.08. alpaca@newsis.com

이 변호사는 사이버보안 전담조직, 즉 '사이버보안청' 설치 필요성도 제기했다. 그는 "우리 삶 자체가 이미 디지털 온라인 삶으로 전환된 지 오래"라며 "그 삶을 지켜줄 수 있는 부처가 하나는 나와야 하지 않겠느냐"고 말했다.

이 변호사는 법제 개편과 함께 보안 산업 구조 개편도 강조했다. AI 시대에는 개별 기업이 혼자 보안 위협을 막기 어렵고 국가 차원의 보안 생태계와 대형 보안기업이 필요하다는 이유다.

그는 국내 보안기업이 대체로 규모가 작아 글로벌 AI·보안 기업과 정면으로 경쟁하기 쉽지 않다고 봤다. AI 기업과 함께 성장한 해외 대형 보안기업들이 국내 시장에 들어올 경우 국내 업체가 단순 하청이나 보조 역할에 머물 수 있다는 우려다.

이 변호사는 "우리나라 보안 업체들이 인수합병을 하든 대기업과 손을 잡든 메가 기업화해야 한다"고 밝혔다. 정부가 특정 기업 간 인수합병을 직접 밀어붙여야 한다는 뜻이라기보다 AI 시대 보안산업도 규모의 경쟁이 불가피한 만큼 대형화와 협력 논의를 사회적 의제로 올려야 한다는 취지다.

그는 "예전에는 사업자가 열심히 하면 막을 수 있다는 전제에서 가능했지만 이제 AI를 통해 거대한 범죄집단이나 국가가 공격한다면 그 기업이 막을 수 있겠느냐"며 "연대와 협력이 필요하다"고 말했다.

이어 "사이버보안 생태계 구축이 없다면 AI 강국도 모래성에 불과하다"며 "법은 나중에 정리해주는 것이지 최종 해결책이 될 수 없다. 결국 답은 보안 기술과 보안 기업에 있다"고 전했다.


◎공감언론 뉴시스 alpaca@newsis.com

관련뉴스