[전문가 기고] 세계 선도 사이버강국으로 도약하려면
■ 새로운 시대 새로운 위협 우리는 지금 AI 기술이 사이버 공간의 모든 영역으로 급속히 확산하는 대전환기에 서 있다. 일상의 편의성과 산업 경쟁력을 높이는 AI의 빛나는 이면에는 그림자도 존재한다. AI를 기반으로 한 사이버 공격이 급증하고 있으며, 그 위협 양상은 과거 사이버 공격과는 차원이 다르다. 통제불가능성, 예측불가능성, 그리고 파급효과의 범위와 깊이가 전례 없는 수준으로 확대되고 있다. 최근 사이버보안 위협은 두 가지 측면에서 근본적인 변화를 맞고 있다. 첫째, AI 기술을 활용한 보안위협이 폭발적으로 증가하고 있다. AI가 생성한 피싱 메일, 딥페이크를 활용한 신원 도용, 자동화된 취약점 탐색 공격 등은 이미 현실이 됐다. 더욱 우려되는 점은 이러한 AI 기반 공격이 기존 보안 시스템으로는 탐지하기가 어렵고, 그 진화 속도가 방어 체계의 업데이트 주기를 훨씬 앞지른다는 사실이다. 둘째, 미중 간 AI 패권 경쟁과 각국의 AI 주권 확보 노력이 치열해지면서, AI는 단순한 기술을 넘어 국가 안보의 핵심 인프라로 부각되고 있다. 이제 AI 기술력은 국가의 사이버 방어력과 직결되며, 사이버보안 대응 체계의 AI 전환은 선택이 아닌 필수가 됐다. 미국, 영국, 이스라엘 등 사이버보안 선진국들은 이미 국가 차원의 AI 사이버보안 전략을 수립하고 대규모 투자와 제도 정비에 나서고 있다. ■ 사이버보안 생태계의 균형적 발전이 핵심 AI 시대의 사이버보안은 기술, 산업, 인력, 거버넌스(법제도)라는 네 가지 핵심 요소가 유기적으로 연결된 하나의 생태계로 접근해야 한다. 어느 한 요소만 강조하거나 분절적으로 접근하는 방식으로는 급변하는 위협 환경에 효과적으로 대응할 수 없다. 대한민국의 사이버보안 현실을 돌아보면, 기술 역량은 세계 수준에 근접해있음에도 산업 생태계 취약성, 전문인력 부족, 그리고 분산된 거버넌스 체계로 국가 전체의 사이버 방어력은 기대에 미치지 못하고 있다. 특히 정부 주도의 하향식 접근과 규제 중심 정책은 민간의 창의적 역량과 혁신 동력을 충분히 활용하지 못하는 한계를 보여왔다. 이에 AI 시대에 본격 대비하기 위한 사이버보안 생태계 활성화를 위해 다음과 같은 네 가지 정책 과제를 제안한다. 1. 사이버보안 기술의 AI 전환 가속화 AI 시대의 사이버 위협에 대응하기 위해서는 보안 기술 자체의 AI 전환이 시급하다. 기존의 시그니처 기반, 규칙 기반 보안 기술로는 AI가 생성하는 지능형 위협에 대응할 수 없다. AI를 활용한 이상행동 탐지, 위협 인텔리전스 분석, 자율 대응 시스템 등 차세대 보안 기술 개발에 집중해야 한다. 이를 위해 정부는 AI 기반 사이버보안 연구개발(R&D)에 대한 투자를 대폭 확대해야 한다. 현재 정부의 사이버보안 R&D 투자는 전체 ICT R&D의 5% 수준에 불과하다. AI 보안 기술 개발을 위한 전용 R&D 프로그램을 신설하고, 산학연 공동 연구 플랫폼을 구축해 민간의 기술 혁신을 지원해야 한다. 또 기초연구부터 상용화까지 이어지는 연구개발 생태계를 조성해야 하고 이를 위해 국책연구소, 대학, 민간기업이 함께 참여하는 '초연결 AI 보안기술 개발 클러스터'를 만들어야 한다. 이 클러스터는 최신 AI 알고리즘과 사이버보안 기술의 융합, 성능 검증, 표준화 등을 종합적으로 지원함으로써 국내 보안 기술의 글로벌 경쟁력을 강화하는 허브 역할을 수행해야 한다. 2. 사이버보안 산업 생태계의 혁신 기반 조성 한국의 사이버보안 산업은 시장 규모에 비해 영세한 기업이 많고, 글로벌 경쟁력을 갖춘 선도 기업이 부족한 실정이다. 이는 단순히 민간 기업의 역량 부족이 아니라, 보안 산업의 성장을 가로막는 제도적 장벽과 투자 환경의 한계에서 비롯된다. 무엇보다 사이버보안 산업 육성을 위한 실질적인 재정 지원이 필요하다. 윤석열 정부가 추진한 200억 원 규모의 사이버보안 기업 펀드는 그 규모와 실효성 측면에서 산업 생태계 변화를 이끌어내기에 턱없이 부족했다. 차기 정부는 최소 3천억 원 규모의 '사이버보안 혁신 펀드'를 조성해 AI 보안 기술 스타트업 발굴, 유망 중소 보안기업 성장 가속화, 글로벌 시장 진출 지원 등 전주기 투자 체계를 구축해야 한다. 특히 초기 창업 단계에서 상용화, 스케일업까지 이어지는 일관된 투자 체계를 구축함으로써 혁신적 기술이 시장에 안착하지 못하고 사라지는 '죽음의 계곡'을 극복하고, 한국 사이버보안 기업의 경쟁력을 획기적으로 강화할 수 있도록 해야 할 것이다. 또한, 산업 구조 개선을 위한 M&A 활성화도 필요하다. 현재 국내 보안 시장은 기술력은 있으나 영세한 중소기업이 다수를 차지하고 있어, 글로벌 경쟁력을 갖춘 대형 보안기업이 부족하다. 국내 보안기업 간 M&A를 적극 지원하고, 해외 진출을 위한 글로벌 파트너십 구축을 지원함으로써 세계 시장에서 경쟁할 수 있는 '코리안 사이버 챔피언'을 육성해야 한다. 규제 체계 개선도 시급하다. 현재 사이버보안 산업은 국가 보안이라는 명목 하에 과도한 규제와 진입장벽에 막혀 혁신적 기술과 서비스가 시장에 진입하기 어려운 구조다. 네거티브 규제 방식으로 전환하고, 혁신적 보안 제품과 서비스를 신속하게 검증하고 도입할 수 있는 '사이버보안 규제 샌드박스'를 도입해야 한다. 이를 통해 새로운 AI 보안 기술이 빠르게 시장에 진입하고 검증받을 수 있는 환경을 조성해야 한다. 3. AI 보안 인재 양성을 위한 교육 혁신 AI 사이버보안 시대의 가장 큰 병목 현상은 전문인력 부족이다. 현재 국내 사이버보안 인력 부족 규모는 약 2만 명으로 추정되며, 특히 AI와 보안을 모두 이해하는 융합형 인재는 극히 부족한 실정이다. 이러한 문제를 해결하기 위해서는 근본적인 교육 체계의 혁신이 필요하다. 첫째, 대학 교육과정에 'AI 사이버보안' 전공 트랙을 신설하고, 인공지능, 데이터 분석, 사이버보안을 통합적으로 학습할 수 있는 교과과정을 개발해야 한다. 현재 분절된 컴퓨터공학과 정보보호학 커리큘럼으로는 융합형 인재 양성에 한계가 있다. 둘째, 산업 현장과 직접 연계된 실무형 교육 프로그램이 확대돼야 한다. 보안기업, 주요 기반시설 운영기관, 연구소 등이 공동으로 참여하는 '사이버보안 아카데미'를 설립해 최신 위협 대응 기술, AI 보안 알고리즘 개발, 보안 아키텍처 설계 등에 대한 전문적이고 실전적인 교육을 제공해야 한다. 셋째, 글로벌 수준의 AI 보안 인재를 양성하기 위한 국제 협력 프로그램을 추진해야 한다. 미국, 이스라엘 등 사이버보안 선진국의 대학, 연구소와 공동 교육과정을 운영하고, 국내 인재들이 글로벌 환경에서 경험을 쌓을 수 있는 교류 프로그램을 확대해야 한다. 무엇보다 중요한 것은 현장에 즉시 투입할 수 있는 실무형 인재를 양성하는 것이다. 이를 위해 대학-기업 간 '산학맞춤형 AI 보안인재 양성 프로그램'을 대폭 확대하고, 기업이 필요로 하는 역량을 갖춘 인재를 선제적으로 육성하는 체계를 구축해야 한다. 4. 민간 주도의 통합적 사이버보안 거버넌스 구축 현재 한국의 사이버보안 거버넌스는 다수의 부처와 기관에 분산돼 있어 신속하고 통합적인 대응이 어려운 상황이다. 국가안보실, 국정원, 과학기술정보통신부, 행정안전부 등이 각각의 영역에서 사이버보안 업무를 담당하고 있으나, 정보 공유와 협력이 원활하지 않고 책임 소재도 불분명하다. 그러한 책임소재 공백을 국가정보원이 대신한 것이 바로 지난 윤석열 정부의 사이버보안 추진체계의 핵심특징이었다. 형식상 국가안보실이 컨트롤타워 기능을 수행했으나, 실질적으로는 국가정보원이 사이버보안 정책 전반을 주도한 것이다. 국정원 주도의 사이버보안 거버넌스는 한계가 있다. 정보기관 중심의 총괄 대응체계를 벗어나, 민간 전문성을 적극 활용하고 정치적 중립성과 독립성을 확보할 수 있는 새로운 사이버보안 거버넌스 구축이 시급하다는 목소리가 꾸준히 제기되는 이유다. 이러한 문제를 근본적으로 해결하려면 정부 주도의 하향식 관리 체계가 아니라 민간 주도의 상향식 사이버보안 생태계를 조성해야 한다. 이미 미국과 일본 등 주요 선진국들은 민간과 산업 분야의 전문성을 적극 활용해 국가 사이버보안 대응체계를 강화하고 있다. 한국도 이를 본받아 민간 전문기관이 중심이 되는 독립적이고 전문화된 사이버보안 거버넌스를 구축해야 한다. 이에 차기 정부는 국무총리실 산하 또는 과기정통부 외청 형태의 독립적인 '사이버보안청'을 신설해 공공 및 민간 영역의 사이버보안을 총괄하고, 기술 개발, 산업 육성, 인력 양성, 정보 공유 등의 업무를 통합적으로 추진할 것을 제안한다. 물론 사이버보안청은 정부 주도가 아닌 민간의 전문성과 창의성을 최대한 활용하는 방향으로 운영돼야 한다. 사이버보안청이 정부기관이면서도 실질적인 민간 주도로 운영되기 위해서는 특별한 제도적 설계가 필요하다. 의사결정기구에 민간 전문가가 과반수를 차지하는 '민관협력위원회'를 설치하고, 주요 정책과 예산 집행에 대한 승인권을 부여해야 한다. 또한 보안기업, 학계, 연구소 출신 전문가들이 주요 부서를 이끌 수 있는 개방형 직위제를 대폭 확대하고, 기관장 역시 민간에서 검증된 전문가가 맡아야 한다. 무엇보다 '사이버보안기본법'에 이러한 민간 주도 운영 원칙을 명문화해 정권 교체와 무관하게 지속가능한 거버넌스 체계를 구축해야 한다. 이와 함께 '사이버보안기본법'을 제정해 분산된 법제도를 정비하고, 민관 협력의 법적 기반을 마련해야 한다. 이 법에는 민간 보안기업의 역량 강화, 정보 공유 체계 구축, 인력 양성, 연구개발 지원뿐 아니라 사이버보안청의 민간 주도 운영 원칙과 구체적 방안을 명확히 규정해야 한다. 민간과의 효과적 협업 체계 구축도 필수적이다. 보안기업, 연구소, 대학과의 공동 프로젝트를 의무화하고, 사이버보안 기술개발 및 인재양성 프로그램의 기획·운영을 민간에 과감히 위탁해야 한다. 민간의 혁신 아이디어를 신속히 검증·도입할 수 있는 '패스트트랙' 제도도 도입하고, 사이버보안청의 성과와 운영을 독립적으로 평가하는 민간 주도 평가단을 구성해 기관의 투명성과 효율성을 지속적으로 검증해야 한다. 이러한 제도적 장치들을 통해 정부기관이면서도 민간의 전문성과 창의성을 최대한 활용하는 하이브리드형 거버넌스 모델을 구축할 수 있을 것이다. ■ 민간 주도 사이버보안 생태계로 국가 경쟁력 강화를 지금까지 우리나라의 사이버보안 정책과 제도는 정부, 특히 정보기관 주도의 안보 프레임워크 하에서 철저히 관리되고 규제되는 측면이 강했다. 이러한 접근법은 급변하는 AI 시대의 사이버 위협에 효과적으로 대응하기 어렵다. 오히려 보안산업이 위축되고, 혁신적 기술개발은 통제받기 쉬웠으며, 법제도 및 거버넌스 정립도 한 발짝도 진전되지 못하는 '사이버보안 지체 현상'이 지속됐다. 차기 정부는 이러한 패러다임을 과감히 전환해야 한다. 사이버보안을 단순한 규제 대상이 아닌, 국가의 미래 안전과 경쟁력을 좌우하는 핵심 산업 인프라로 인식하고, 민간의 역량과 창의성을 최대한 활용하는 생태계 중심 접근법을 채택해야 한다. 민간 주도의 기술 혁신, 산업 생태계 활성화, 실무형 인재 양성, 그리고 통합적 거버넌스 구축이라는 네 가지 축을 중심으로 한 사이버보안 정책은 단순히 위협 대응을 넘어, AI 시대 대한민국의 새로운 성장 동력이자 글로벌 경쟁력의 원천이 될 것이다. AI가 가져올 미래 사회의 안전과 번영은 우리가 지금 어떤 사이버보안 체계를 구축하느냐에 달려 있다. 차기 정부는 민간의 역량을 신뢰하고, 적극 활용하는 방향으로 사이버보안 생태계를 발전시켜 나가야 한다. 그것이 AI 시대 대한민국이 세계를 선도하는 사이버 강국으로 도약하는 첫걸음이 될 것이다. ◆ 필자 이원태는.... -서강대학교 및 동대학원 졸업, 정치학 박사(Ph.D.). -(전) 한국인터넷진흥원 원장 -(전) 아주대학교 사이버보안학과 연구교수. -(전) 정보통신정책연구원 연구위원 -(전) 대통령직속 정책기획위원회 위원 -(전) 개인정보보호위원회 제도혁신자문단 위원 -(전) 금융보안원 금융보안자문위원 -(전) 한국인공지능법학회 부회장 -(전) 한국인터넷윤리학회 부회장 -(전) 한국데이터법정책학회 부회장 등 역임.
