AI 강국은 사상누각: 한국 디지털 미래의 위기와 혁신 과제

 

윤상필(고려대)

 

한국이 위기에 빠졌다. AI 3강 노린다며 해외 언론이나 컨설팅기업이 매기는 AI 경쟁력 순위에 일희일비할 때가 아니다. 이대로 가다가는 전자정부 1등 국가, 세계 1위 IT 강국이라는 명성도 잃을 판이다. 남들이 우리를 어떻게 보든지 간에 근본적인 보안 문제를 해결하지 못하면 다가오는 디지털 미래에는 후진국이 될지도 모른다.

2025년 4월 SK텔레콤이 해킹당해 약 2,300만 명의 USIM 정보가 유출된 사실이 밝혀졌다. 해킹 공포에 시민들은 유심칩을 바꾸려고 오픈런을 해야 했다. 2025년 8월부터 서울 서부권에서 KT 가입자들의 휴대폰 무단 소액결제 피해가 보고되더니 10월 중순 기준 피해 인원은 수도권 거주자 362명, 피해 금액은 약 2억 4,000만 원으로 불어났다. 같은 달 롯데카드도 약 28만 명의 카드번호, 유효기간, CVC를 포함해 297만 명의 회원 정보가 유출된 사실을 확인했다. 2025년 8월 우리 정부 내부망 곳곳이 뚫린 사실이 공개됐다. 익명의 화이트해커 2명(Saber, cyb0rg)이 특정 국가의 지원을 받는 것으로 추정되는 해커의 시스템을 해킹해 그 안에 저장된 데이터를 공개하면서 알려진 사실이다. 국군방첩사령부와 검찰, 외교부, 행정안전부, 한국지역정보개발원, 통신사 등을 대상으로 한 피싱 공격 캠페인이 확인됐다. 참고로 지역정보개발원은 모든 공공기관 조직정보와 직원정보가 담긴 정부디렉터리시스템을 관리한다. 외교부 등 공공기관에서 사용하는 메일 서비스 ‘에어즈락(Ayersrock)’ 소스코드, 공무원의 공인인증서인 GPKI 소스코드, 행정안전부 내부 웹보안 시스템 관련 문서들도 유출됐다. 심지어 해커는 정부 내부 업무 시스템인 ‘온나라(통일부 및 해양수산부에 한함)’에 접속하기도 했다. 연세대, 네이버, 카카오 사용자를 대상으로 하는 피싱 사이트도 발견됐다. 2025년 9월에는 국가정보자원관리원 본원 전산실에 화재가 발생했다. 공공기관 업무 시스템과 대국민 공공서비스를 포함해 709개의 정부 서비스가 중단됐다. 10월 14일 18시 기준 297개의 시스템이 복구되었다.

한편, 이재명정부 국정운영 5개년 계획(2025)에 따르면 우리가 구상 중인 AI 미래는 이렇다. AI 3대 강국이라는 전략 아래 AI 컴퓨팅 및 네트워크 인프라를 확충하고 국가 전체 공공민간 데이터 통합 플랫폼을 구축한다. 민관협력 기반으로 독자적인 AI 모델 개발을 지원하고 누구든 AI를 체험할 수 있도록 교육 서비스와 공간을 조성한다. 제조업과 서비스업, 지역특화산업의 AI 전환을 촉진한다. AI 핵심 인재도 양성하고 공장, 로봇, 자율주행, 자율운항선박 등과 연계한 피지컬 AI의 산업 적용을 확대한다. AI로 금융, 식량, 재난 등 리스크를 분석해 국민의 삶을 지키는 사회를 구현한다. 범정부 AI 공통기반을 구현하고 대국민서비스와 정부업무를 AI로 혁신해 세계 1위 AI 정부를 실현한다.

우리뿐만 아니라 전 세계가 이런 미래의 초입에 살고 있다. 이 시점에 굵직한 보안 사고들이 발생한 것은 차라리 다행일지도 모른다. 또 단편적으로 사태만 수습하고 책임질 대상만 찾아 때리고 끝나면 안 된다. 우리의 디지털 세계를 받치고 있는 칩과 시스템, 네트워크 등 물적 인프라와 디지털 세계를 구성하는 소프트웨어에 이르기까지 모든 요소를 바닥부터 재점검해야 한다. 그 안의 생태계도 살펴보고 이해관계도 식별해야 한다. 일하는 방식과 문화는 물론 문제가 되는 법규도 과감히 바꿔야 한다. 이 과정에서 고려해야 하는 문제는 다음과 같다.

첫째, 해킹당했다고 늘 큰 잘못이 있는 것은 아니다. 방대한 데이터 관리자로서의 상당한 주의의무가 있으므로 보안에 힘써야 하지만 진짜 비난의 화살은 해커에게 가야 한다. 특히 오늘날 해킹은 단순한 사이버범죄 수준을 한참 벗어난다. 특정 국가의 전략적 지원을 받은 해커들이 장기간 치밀하게 접근하여 대상 시스템에 침입하고 있다. 국가 수준의 지원이 이루어지니 개별 조직이 혼자 대응할 수 없다. 정부와 기업, 화이트해커들이 협력해 공격자를 추적하고 신원을 식별해 우리 법정에 세울 수 있어야 한다. 국가의 근본적 역할을 바로 세우고 그에 필요한 권한과 자원을 부여해야 한다.

둘째, 해킹당한 자에게 잘못이 없는 것도 아니다. 보안에 대한 인식이 여전히 부족하다. 경영진이 책임져야 한다는 얘기는 예전부터 있었다. SK그룹이 USIM 해킹 사태 이후 정보보호혁신특별위원회를 구성했다. LGU+도 2023년 해킹 이후 CEO 직속 정보보안센터를 운영하고 있다. 거버넌스가 있다고 보안이 강화되는 것도 아니다. 보안 문제에 모든 구성원들이 동참해야 한다. 그런데 사고가 나면 담당자만 자르고 과징금 얼마 내면 끝나는 일이 반복된다. CISO는 정보보호 최고책임자라는 직책이 무색하게 힘이 없고 책임만 크다. 최신 솔루션을 도입해야 한다든지 보안 인력을 늘려야 한다는 요구는 영업이익에 밀린다. 현업 부서에서 보안정책은 그저 불편한 요소다. 보안은 기피 업무가 되고 그래도 버틴 보안 담당자는 사고가 나면 모든 책임을 진다. 이 불합리한 구조를 전면 개혁해야 한다.

셋째, 다자간 통신을 전제로 하는 디지털 기반은 선천적으로 보안에 취약하다. 유기적인 요소들의 집합인 우리 몸에 비유하면 해킹은 질병과 같다. 면역력이 약해지면 세균과 바이러스의 침입을 허용하게 된다. 그러면 세균과 바이러스를 퇴치하고 면역력을 강화해야지 면역체계를 깨부수면 안 된다. 건강을 챙기기 위해 안 좋은 것을 안 먹고 꾸준히 운동하듯이 처음부터 프라이버시와 보안을 고려해 SW를 설계하고 이후에도 보안 교육과 함께 시스템의 취약점을 지속적으로 찾아 개선해야 한다. 스스로도 노력해야겠지만 혼자 찾으려면 힘들다. 화이트해커 등 외부의 도움을 받아야 한다. SW나 시스템의 취약점을 해커들로부터 제보받아 개선하고 제보자를 보상하는 버그바운티와 취약점 공개정책(vulnerability disclosure policy)이 공공과 민간 전역에서 활성화되어야 한다.

내 몸이 혼자 싸우지 못하면 능력 있는 의사의 도움이 필요하다. 다만, 매번 의사가 개입하면 몸이 혼자 싸울 역량을 갖출 수 없다. 마찬가지로 국가지원해커를 추적하고 사이버 위협정보를 공유하며 역량이 부족한 중소기업을 지원하는 일과 같이 공적 권한의 투입이 필요한 경우를 제외하고는 정부가 나서는 일을 줄여야 한다. Taisic Yun et al. (2025)에 따르면 우리 금융 부문에서 의무적으로 설치하도록 요구하고 있는 보안 소프트웨어의 취약점들이 다수 발견되었다. 보안을 고려해 정부가 나서 우리만의 금융 보안소프트웨어 설치를 의무화한 정책이 오히려 비표준 보안소프트웨어의 설치를 강제함으로써 취약한 경로를 지정해 놓고 전 세계에 발표하는 결과를 낳은 셈이다. 모든 일에 정부가 개입하기보다는 시장의 경쟁을 통해 서로 보안 역량을 강화함으로써 신뢰할 수 있는 디지털 공급망과 함께 더 견고한 SW가 시장에 쏟아져 나오는 시대가 되어야 한다.

AI를 중심으로 하는 디지털 미래에는 더 큰 연결성이 형성된다. AI 강국은 견고한 디지털 기반 위에서만 가능하다. 해커 잡는 일은 애초에 포기하고 해킹당한 조직만 때려잡는 전략, 보안 업무는 보안 부서가 해야 한다는 생각, 배터리 교체하다가 정부 시스템이 마비되는 상황은 곤란하다. 범국가적 혁신을 위해 힘과 자원을 가진 정부와 기업이 나서야 한다.

 

참고문헌

 

고려대학교 정보보호대학원 (2025). “APT-Down Revisited: 국가지원해킹그룹 해킹자료 분석 및 시사점”, https://security.korea.ac.kr/m06_03/76, (2025.10.12. 23:12 접속)

대통령직속국정기획위원회 (2025). “이재명정부 국정운영 5개년 계획(안)”, 53-59면.

행정안전부 (2025). “정보시스템 복구 현황 및 전체 시스템 목록(10.14. 18:00 기준, 297개/709개)”, https://blog.naver.com/mopaspr/224040490016, (2025.10.14. 23:44 접속)

Sober, Cyb0rg (2025). “APT Down - The North Korea Files”, 2025.08.19., https://phrack.org/issues/72/7_md#article, (2025.10.12. 22:35 접속)

Taisic Yun et al. (2025). “Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea”, 34th USENIX Security Symposium, August 13–15, 2025, Seattle, WA, USA.

 

디지털사회(Digital Society)는 연세대학교 디지털사회과학센터(Center for Digital Social Science)에서 발행하는 이슈브리프입니다. 디지털사회의 내용은 저자 개인의 견해이며, 디지털사회과학센터의 공식입장이 아님을 밝힙니다.