앤트로픽(Anthropic)의 AI 모델 클로드 미토스(Claude Mythos) 등장 이후 국내 AI 보안 논의가 활발해지는 가운데, 사이버안보학회 N2SF연구회 회장이자 국가AI전략위원회 보안특별위원회 위원인 김창훈 대구대학교 교수는 현재 대책 방향이 일부 키워드에 매몰돼 있다고 진단했다. 그는 보안 특화 모델 개발, 취약점 탐지, 빠른 패치가 필요한 것은 맞지만 “본질은 막는 것”이라며, 실제로 어디가 공격받을 가능성이 크고 그 기관을 어떻게 현실적으로 보호할지에 대한 논의가 부족하다고 지적했다.
김 교수는 AI 기반 공격 도구 확산을 사이버 팬데믹에 비유했다. 팬데믹에서 취약 계층을 먼저 보호하듯, 사이버 영역에서도 보안 여력이 부족한 기관이 먼저 타깃이 될 수 있다는 논리다. 공격자는 방어가 강한 대형 금융기관보다 중요 정보와 자금을 보유했지만 보안 체계가 상대적으로 약한 중소 금융기관, 방산·에너지 분야 핵심 기술 보유 중소기업을 먼저 노릴 가능성이 높다고 봤다. 취약점을 발견해도 장비가 노후화돼 즉시 교체할 수 없거나 탐지 장비 도입 예산이 없다면 발견 자체가 의미를 잃는다는 지적이다.
그가 단기 대안으로 제시한 개념은 ‘클라우드 기반 사이버 대피소’다. 보안 기능이 강한 클라우드 방어 구간을 구축해 취약한 기관의 외부 접속이 이 구간을 경유하도록 함으로써, 웹 공격과 이상 행위를 내부 시스템에 닿기 전에 필터링하는 방식이다. 모든 기관에 고가 장비를 일괄 지원하기 어려운 현실을 감안한 임시 방어 구상이다. 미토스 같은 AI 위협은 일반 연구개발 과제처럼 천천히 접근할 일이 아니라 긴급 예산과 별도 집행 체계가 필요한 사이버 재난 수준이라고 그는 강조했다.
장기 전략에 대해서는 국가망보안체계(N2SF)를 단순 망분리 완화가 아닌 고도화된 심층 방어 체계로 구현해야 한다고 밝혔다. 데이터 등급뿐 아니라 업무 행위의 시스템 영향도를 함께 고려해 보안 수준을 차등 적용하고, 기존 모델을 활용해 방화벽 정책 조정·접속 차단·인증 강화 등 실제 방어 정책을 즉시 제안할 수 있는 LLM(대규모 언어 모델) 기반 보안 서비스를 새 거대 모델 개발보다 우선해야 한다고 말했다.
