“클로드 미토스 등장에 낡은 규제 순응형 보안 체계 붕괴” 진단 제재 리스크 커져... CEO 중심 현업·보안·감사 보안 체계 역설
[보안뉴스 조재호 기자] “F1 레이스는 직선 질주가 아니라 얼마나 효율적으로 코너링을 잘했느냐에 승부가 갈립니다. AI 시대의 보안도 마찬가집니다. 혁신을 제어하기 위한 강력한 브레이크 역할을 할 때, 진정한 AI 혁신이 가능합니다.”
▲김홍선 김·장 법률사무소 고문이 키노트 스피치를 진행하고 있다. [출처: 보안뉴스] 22일 서울 코엑스에서 열린 PISFAIR 2026 기조 강연자로 나선 김홍선 김·장 법률사무소 고문은 AI 전환에서 ‘시큐리티 파운데이션’(Security Foundation)을 이같이 정의했다. 기업의 혁신이라는 고속 주행이 궤도를 이탈하지 않기 위해선 역설적으로 데이터 파이프라인 전반을 제어하는 가장 강력하고 신뢰할 수 있는 제동 장치가 선행돼야 한다는 것이다.
이날 ‘AI 시대의 개인정보보호 패러다임 전환’을 주제로 발표한 김 고문은 AI 시대의 보안에 앞서 진화한 위협에 대해 설명했다. 이제 해커들은 랜섬웨어 같은 악성코드를 침투를 넘어 AI 에이전트를 앞세워 공격을 자동화하고 있다.
특히 4월 앤트로픽이 발표한 ‘미토스’의 등장은 패치에 의존하던 수동적 방어 체계의 종말을 시사한다. 앞으로 사람이 직접 수행하는 노동 집약적 관제와 1년에 한두 번 하는 체크리스트 점검으로는 24시간 내내 쏟아지는 공격을 막아낼 수 없는 한계에 직면했다는 설명이다.
기존 IT와 AI 시스템의 설계 사상 차이에서 비롯된 사각지대도 치명적 리크스다. 섀넌의 정보 이론에 따른 과거 결정론적 시스템에서는 관리자 권한 통제가 보안의 핵심이었다면, 데이터를 벡터로 변환하는 확률론적 AI 환경에서는 권한 탈취 없이도 자연어를 악용한 ‘프롬프트 인젝션’만으로 민감 정보가 무방비로 유출될 수 있다.
완벽한 차단이 불가능한 환경에서는 침해를 기정사실로 여기는 ‘어슘 브리치’(Assume Breach) 전략 아래 데이터 거버넌스와 AI 게이트웨이를 융합한 구조적 변화가 필요하다. 클라우드 네이티브 아키텍처를 바탕으로 개발·운영 전반에 ‘제로 트러스트’를 내제화해 단일 사일로 관행을 넘어 전사적 ‘시큐리티 파운데이션’을 완성할 수 있다.
CEO와 이사진의 책임도 무거워졌다. 개인정보보호위원회가 최근 쿠팡에 6000억원대 규모의 과징금을 부과하는 등 제재 리스크가 급상승했기 때문이다.
김 고문은 “CISO에 책임을 전가하던 구조를 타파하고, CEO 주도로 현업·보안·감사가 상호 견제하는 방어 체계를 구축해야 한다”며 “데이터 무결성을 보호하는 브레이크가 없는 기업의 AI 혁신은 결국 과징금과 파국이라는 참사로 돌아올 것”이라고 말했다.
