[미토스 이후, 전문가에게 듣는다⑥] 최경진 가천대 교수 “AI 시대, ‘책임 있는 이용’ 논의 시작해야”
Source: Byline Network
앤트로픽의 새 인공지능(AI) 모델 ‘클로드 미토스(Claude Mythos)’ 등장을 계기로 AI가 사이버보안 분야에 미칠 영향에 대한 논의가 커지고 있다. AI가 취약점을 찾고 공격 경로를 설계하는 능력을 어디까지 갖췄는지, 그리고 이를 방어 체계가 따라갈 수 있는지 등을 두고 우려가 커지고 있다. 바이라인네트워크는 ‘미토스 이후, 전문가에게 듣는다’ 시리즈로 미토스 프리뷰를 접한 전문가들의 견해와 에이전틱 AI 시대의 사이버보안 대응 방향을 살펴본다. 그 여섯 번째로 최경진 가천대학교 법과대학 교수를 인터뷰했다. 최 교수는 한국인공지능법학회 회장으로 활동하고 있다. [편집자주]
[미토스 이후, 전문가에게 듣는다①] 윤인수 카이스트 교수 “AI가 숨은 취약점 다 찾아낼 것”
[미토스 이후, 전문가에게 듣는다②] 이상근 고려대 교수 “사이버보안 전략 무기가 되는 시대”
[미토스 이후, 전문가에게 듣는다③] 박관순 티오리 CISO “AI 해킹, 모델보다 시스템 싸움”
[미토스 이후, 전문가에게 듣는다④] 최영철 SGA솔루션즈 대표 “미토스는 핵폭탄, 제로 트러스트 전환 앞당겨야”
[미토스 이후, 전문가에게 듣는다⑤] 윤두식 이로운앤컴퍼니 대표 “AI 보안의 출발점은 거버넌스”
[미토스 이후, 전문가에게 듣는다⑥] 최경진 가천대 교수 “AI 시대의 법제도, ‘책임 있는 이용’ 논의 시작해야” (이 번호)
(출처=바이라인네트워크)
미토스, AI 보안·안보 논의 앞당겨
최경진 가천대학교 법과대학 교수는 미토스 이슈를 새로운 문제의 등장이라기보다 ’이미 예견됐던 AI 보안·안보 논의를 앞당긴 사건‘으로 봤다. 대규모언어모델(LLM) 확산 이후 AI가 보안 위협과 국가안보에 영향을 줄 것이라는 문제 제기는 계속 있었다는 설명이다.
최 교수는 미토스 이후의 초점을 취약점과 관련된 논의로만 좁혀서는 안 된다고 했다. AI가 코드와 취약점 경로를 빠르게 분석하는 것에서 더 나아가, 공격 코드를 만들고 여러 공격 루트를 결합해 실제 해킹을 달성할 수 있기 때문이다. 특히 멀티모달 AI가 발전하면 영상과 음성, 텍스트를 결합한 종합 공격도 가능해질 수 있다고 봤다. 멀티모달 AI는 텍스트뿐 아니라 이미지, 음성, 영상 등 여러 형태의 데이터를 함께 처리하는 AI를 뜻한다.
최 교수는 “취약점과 공격 도구를 만들어내는 AI의 능력은 일부일 뿐”이라며 “AI가 더 발전하면 취약점 탐지, 공격 코드 작성, 다각적 공격 경로 설계가 동시에 이뤄질 수 있다”고 말했다. 그는 AI의 위협성을 병렬 처리 능력에서 찾았다. 사람이 한두 가지 작업에 집중하는 동안 AI는 여러 공격 경로를 동시에 시험할 수 있다. 이 때문에 기존 보안 위협보다 속도와 규모가 달라질 수 있다는 진단이다.
다만 그는 기술적 대응의 방향이 완전히 바뀌는 것은 아니라고 봤다. 아이디와 비밀번호 관리, 취약점 탐지, 보안 장비 운용, 정보 공유 같은 기본 보안 체계는 여전히 중요하다. 달라지는 것은 속도다. 최 교수는 “새로운 AI가 나왔을 때 이것이 얼마나 위협적인지 평가할 수 있는 체계가 필요하다”며 “국가와 민간이 협력해 정보 비대칭을 어떻게 줄일 지가 관건”이라고 말했다.
취약점 점검**, **버그바운티 제도 논의만으로는 부족하다
최 교수는 미토스 이후 현행 법제에서 가장 먼저 봐야 할 지점으로 ‘취약점 점검 체계’를 꼽았다. AI가 취약점 탐지 속도를 높일수록 국내에서도 취약점을 합법적으로 찾고 공유할 수 있는 절차가 필요하지만, 현행 법제에서는 선의의 점검도 법적 위험을 안을 수 있다는 지적이다. 국내에서는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’상 타인의 정보통신망에 무단으로 침입하면 처벌 대상이 될 수 있다. 그렇다고 규제를 단순히 없애기도 어렵다. 화이트해커와 블랙해커를 행위만으로 쉽게 구분하기 어렵기 때문이다.
이에 최 교수는 일정한 제도적 샌드박스가 필요하다고 봤다. 화이트해커인지 알 수 있게 사전에 등록하는 제도를 만들거나, 정해진 범위 안에서 취약점을 점검할 수 있는 절차를 마련하는 방식이 대응책이 될 수 있다는 설명이다.
또한 최 교수는 단순히 버그바운티를 제도화하자는 접근은 너무 좁은 시각이라고 짚었다. 취약점 점검 프로세스, 적절한 보상 체계, 취약점 정보 공유, 공동 부담 구조가 함께 설계돼야 한다는 것이 핵심이다. 그는 “한 기관에서 발견된 취약점은 다른 기관이나 기업에도 영향을 줄 수 있기 때문에, 이를 가공해 관련 보안 담당자에게 빠르게 전달하는 체계가 필요하다”고 설명했다. 이어 “취약점 점검 체계를 양성화하고, 적정한 리워드 체계를 만들고, 정보를 보안 담당자에게 공유해 취약점을 해결하는 프로세스가 함께 만들어져야 한다”고 말했다.
단, 취약점 점검 체계는 정교하게 설계되어야 한다. 선의를 가지고 한 점검도 시스템에 부하를 줄 수 있기 때문이다. 여러 AI 에이전트를 동원해 시스템을 계속 두드리면, 점검 대상 시스템은 이를 분산서비스거부(DDoS) 공격으로 받아들일 수도 있다. 그는 “선량한 목적이라도 행위 자체가 시스템 부하를 높일 수 있다”며 “어떤 방식으로 허용할지 정밀한 설계가 필요하다”고 말했다.
취약점 점검 체계, ‘컨트롤 타워**’ 중심으로 설계해야**
정교한 취약점 점검 체계를 만들려면 여러 법률 간 관계도 함께 봐야 한다. 개인정보보호법, 정보통신망법, 전기통신사업법 등 관련 법이 나뉘어 있기 때문이다. 하나의 법만 고쳐도 다른 법에 걸리면 제도가 제대로 작동하기 어렵다.
최 교수는 “법끼리의 관계까지 고려한 제도 설계가 필요하다”며 “한 부처만 논의할 것이 아니라 부처 간 협의가 필요하다”고 말했다. 이어 “국가안보실, 국무조정실, 과학기술정보통신부 등 어느 곳이든 컨트롤 타워가 전체 논의를 조율해야 한다”고 짚었다.
이 대목에서 최 교수는 ‘거버넌스’를 강조했다. 여기서 거버넌스는 특정 규제 하나를 만드는 것이 아니라 취약점 점검, 보상, 정보 공유, 책임 분담, 법제 정비를 함께 묶어 작동하게 하는 체계를 뜻한다. 미토스 같은 AI가 취약점 탐지와 공격의 규모와 속도를 높일수록, 법제도 역시 개별 제도보다 전체 운영 구조를 먼저 설계해야 한다는 의미다.
책임 있는 이용**, AI **에이전트 법제의 출발점
최 교수는 AI 에이전트 시대 법제의 핵심으로 ‘책임 있는 이용’이라는 개념을 제시했다. 지금까지 AI 법제 논의는 개발자와 공급자 중심으로 진행됐다. AI 기본법도 주로 개발 단계에서 고위험, 중위험 등 AI 자체를 어떻게 규제하고 어떤 가드레일을 둘 것인지에 초점을 맞췄다. 그러나 AI 에이전트가 실제 업무 시스템에서 행동하는 단계로 넘어가면 이용자의 책임도 함께 논의해야 한다는 것이 최 교수의 주장이다.
그가 말한 ‘책임 있는 이용’은 AI 이용자를 강하게 규제하자는 뜻은 아니다. AI를 실제 업무와 거래, 보안 점검에 쓰는 이용자가 어떤 책임을 져야 하는지 정하고, 그 책임 인식이 공급자의 안전한 AI 개발로 이어지는 선순환 구조를 만들자는 의미다.
최 교수는 “AI 에이전트를 쓰는 것 자체를 모두 통제하기는 어렵다”며 “중요한 것은 에이전트를 쓰는 데 따른 책임을 누가 질 것인지 명확히 하는 것”이라고 말했다. 그는 “AI 에이전트를 독립된 법적 주체로 보기보다 아직은 사람이 사용하는 도구로