“AI 보안 테러 미리 막아야”… 국회서 AI 보안 대책 강구

인공지능(AI) 기술이 데이터 학습을 기반으로 의료, 금융, 통신 등 핵심 인프라 전 분야에 융합되면서 보안의 중요성이 날로 커지고 있다. AI는 대용량 민감 데이터를 처리하고 중요한 의사결정에 관여하기 때문에 보안 취약점이 곧 사회 전반의 위험으로 직결될 수 있다. 하지만 국내에서는 이러한 AI 보안 위협에 대한 논의가 시작 단계에 머물러 있고 체계적인 대응 방안 마련은 여전히 미흡한 상황이다.

이날 5일 국회의원회관에서는 최형두 국회 과학기술정보방송통신위원회 소속 의원(국민의힘·야당 간사)이 주최하고 정보통신산업진흥원(NIPA), 한국정보통신기술협회(TTA), 인공지능산업협회가 공동 주관한 ‘AI 융합 및 보안 발전방향 모색 간담회’가 열렸다. 이 자리에선 AI 모델에 대한 공격과 AI로의 보안 테러에 대한 대책 논의가 진행됐다.

간담회를 주도한 최형두 국민의힘 의원은 “9.11 테러 공격 신호는 다 알고 있었지만 정부기관이 통합되지 않아 테러를 막지 못했다”며 “AI 보안 쪽에 선제 대응이 필요하다”고 말했다. 이어 “전문가들의 의견을 모아 정책 반영에 힘쓰겠다”고 덧붙였다.

국내에서도 최근 악성코드 공격으로 SK텔레콤 고객의 유심 정보가 유출되자 보안 문제에 대한 선제적 대책의 중요성이 높아지고 있다. 현재 AI 기술 발전으로 인한 보안 문제는 크게 AI 모델에 대한 공격과 AI를 이용한 사이버 공격 및 정보 탈취 두 갈래로 나뉘고 있다.

◇ “보안 문제 심각 AI 산업 흔들려”

김인석 AI산업협회 회장은 “거대모델의 안전장치가 뚫릴 수 있고 이는 소형 모델 솔루션들의 기반을 흔들 수 있어 AI 산업 자체가 크게 흔들릴 수 있다”며 “자동화된 방어 시스템 구축과 전문 인력 양성이 필수적”이라고 강조했다.

서영성 메디큐스타 CTO는 “메디컬 분야에서 대형언어모델(LLM)이 서비스되는 분야가 국내에는 없는데 환자들의 생명을 담보하기 때문에 할루시네이션이 치명적이며 보안이 생명”이라며 “국내에서 메디컬 분야 mLLM를 선도하려고 노력하고 있다”고 했다. 메디큐스타는 이날 온디바이스 AI 적용에 보안 위험을 낮추고 진단 기간을 3~7일로 단축한 결핵 진단 플랫폼을 소개했다.

윤석주 페르소나AI 이사는 “인터넷 없이 AI 엔진을 활용할 수 있다면 원천적으로 보안 문제를 해결할 수 있다”며 “디바이스 안에서 AI 엔진이 돌아갈 수 있는 것이 하나의 해결책이 될 수 있다”고 제안했다.

채정우 산업정책연구원은 “AI 정부 과제들을 추적 관찰해서 별도 예산을 편성해 보안성 점검을 하는 프로세스를 마련해야 한다”며 “정부 사업에서 중간·결과 평가에서 AI 보안성에 대해 공적으로 검토할 수 있는 제도가 필요하다”고 말했다.

장영환 매시브다이나믹 대표는 “중소기업은 대기업에 비해 보안에 대한 대응이나 시스템 구축이 어렵다”며 “중소기업이 함께 쓸 수 있는 보안 플랫폼이 구축돼야 한다”고 말했다. 이어 “최소한의 AI 보안 인증을 받을 수 있도록 해야 한다”고 요청했다.

박진우 현대퓨처넷 CISO는 “새로운 형태의 AI 공격에 대한 유관기관 정책지원이 필요할 것 같다”고 제언했다.

김연진 과학기술통신부 정보보호기획과장은 “AI 공격은 AI로 막자는 방침으로 AI를 활용해서 보안을 강화하려는 방안을 강구하고 있다”며 “AI 침해 대응 구축도 AI 기술을 활용해서 마련하고 데이터 보안도 강화하려고 검토하고 있다”고 설명했다.

◇ TTA, AI 모델 전용 보안 시험 서비스 실시

국내에서는 한국정보통신기술협회(TTA)가 지난 7월부터 AI 모델 전용 보안 시험 서비스를 실시하고 있다. TTA에서 정의하는 AI 보안은 외부의 사이버 공격 침해행위 등으로 인한 AI 조작, 손상, 탈취 등 무결성, 기밀성, 보안성을 저해하는 행위이다. AI 서비스 생명주기를 5단계로 나누면 계획 및 설계, 데이터 수집 및 처리, AI 모델 개발, 시스템 구현, 운영 및 모니터링이다.

TTA는 데이터 수집 및 처리 단계에서는 RAW 데이터 출처 검증, 데이터 오염 방지, 개인정보 익명·가명 처리 등을 중점적으로 점검하고 있고, AI 모델 개발 단계에서는 AI 모델 무결성 확인과 생성 재현 시험 등 8개 기본 시험 항목을 운영하고 있다. 기업들은 TTA 고객 서비스 포털에서 AI 보안 시험 서비스를 신청할 수 있다.

한정훈 한국정보통신기술협회(TTA) 센터장은 “AI 보안 위협 영향도 수준에 따라 등급을 구분하고 산업 분야별 맞춤형 보안 가이드라인을 개발·제공할 필요가 있다”며 “AI 보안 전문성 확보가 어려운 기업을 위해 국책 연구소나 교수진 등 전문가 매칭을 통한 기술 지원이 필요하다”고 말했다. 이어 “기업이 자체 검증이나 제3자 검증에 활용할 수 있는 테스트베드 구축도 추진해야 한다”고 요청했다.