과학기술정보통신부는 29일 제9회 과학기술관계장관회의에서 ‘AI 기반 사이버위협 대응 민간 정보보호 추진계획(안)’을 발표했다. AI를 활용해 공격을 감행하는 고도화된 해킹 위협이 급증하는 상황에 맞서, 정부는 청와대 국가안보실을 중심으로 범정부 거버넌스를 구성하고 민관 합동 대응 전선을 구축한다는 방침을 밝혔다. 과기정통부 내에는 총괄상황반을, 민간 분야에는 소관부처별 상황반을 운영해 AI 관련 취약점 공개·패치·위협 상황을 신속하게 전파하고 침해사고 발생 시 즉각 합동 대응할 수 있는 긴급체계를 마련한다.
정보 관리 체계도 전면 개편한다. 정부는 한국인터넷진흥원(KISA)에 ‘취약점 관리센터’를 신설해 기존에 부처별로 분산 관리되던 보안 취약점 정보와 패치 업무를 단일 시스템으로 통합한다. KISA의 취약점 정보포털(KNVD)을 중심으로 국내외 보안 허점을 광범위하게 수집·분석한 뒤 핵심 정보를 기업 최고정보보호책임자(CISO)와 관계부처, 군까지 실시간으로 전파하는 구조다. 이와 함께 취약점 탐지부터 패치 도출까지 전 과정을 AI가 자동 수행하는 체계도 시범 도입하며, 하루 약 3억5000만 건에 달하는 전 세계 도메인을 상시 모니터링해 AI를 악용한 공격용 도메인 생성을 즉시 탐지하고 차단한다는 계획이다.
기업 지원 방식도 규모별로 구체화된다. 정보통신기반시설, 정보보호 관리체계(ISMS) 의무 인증 기업을 비롯해 금융·의료·에너지 분야 대형 기업, 상급종합병원, 주요 사립대 등 약 1200개사가 집중 관리 대상이다. 이들 기업에 대해서는 소관부처 주관 아래 자산관리·취약점 점검·패치 대응 이행 여부를 점검한다. 보안 역량이 부족한 중소기업에는 IT 자산 현황 자가 진단 도구를 배포하고 AI 기반 취약점 사전 탐지와 소프트웨어 구성명세서 생성·분석 기술을 지원하는 맞춤형 방식을 취한다.
이번 계획이 마련된 직접적인 계기는 앤스로픽(Anthropic)이 제한된 기업·기관과 진행한 보안 협의체 ‘글래스윙(Glasswing) 프로젝트’의 첫 보고서다. 해당 보고서에서 주요 소프트웨어와 오픈소스 코드베이스에서 1만6000건이 넘는 취약점이 AI를 통해 발견됐다는 사실이 공개되면서 AI 기반 공격의 실제 위험성이 부각됐다. 정부는 보고서 공개 직후인 5월 24일 국내 영향 요소를 분석해 보안 공지를 발령하고 민·관·군에 관련 정보를 긴급 공유했으며, 25일에는 전국 약 2만8000개사 CISO에 보안 대비태세 강화를 요청한 바 있다. 배경훈 부총리 겸 과기정통부 장관은 “최고 수준의 해커와 견줄 정도로 사이버보안 분야의 AI 발전 속도가 빠른 상황으로, 한국도 AI 시대에 걸맞은 보안 체계와 글로벌 협력을 갖추지 못한다면 AI 3대 강국 도약도 흔들릴 수밖에 없다”고 강조했다. 정부는 오픈AI의 정부·기관용 신뢰 기반 접근 프로그램(GTAC) 확보를 시작으로 글로벌 빅테크와 AI 보안 협력을 이어가는 한편, 내년부터는 외산 기술에 의존하지 않고 독자 AI 기술 기반의 ‘AI 보안 주권’ 체계로 전환하는 대형 프로젝트를 기획·실행한다는 방침도 밝혔다.
