- AI 에이전트 ‘행위자’로 부상...금융·공공분야 기존 보안 체계 전면 재설계 요구
- 양자컴퓨팅이 공개키 암호 무력화...PQC 전환과 HNDL 대비 국가적 과제 부상
- 전문가들 “기술·제도·거버넌스 아우르는 새로운 보안 패러다임 구축해야”
AI 에이전트의 급격한 진화와 양자컴퓨팅의 도래로 기존 보안 체계가 근본적으로 무력화되고 있다. 특히 AI가 단순한 지능을 넘어 '행동 권한'을 가진 능동적 행위자로 부상하면서 새로운 보안 패러다임으로의 전환이 시급한 상황이다.
대표적으로 엔트로픽이 개발한 '미토스(Mythos)'는 일반 챗봇과 달리 보안 및 해킹 영역에 특화되어 직접적인 위협을 초래하고 있다. 미토스 사례는 AI가 취약점 탐색부터 공격 실행·재시도까지 수행가능함을 보여주며 기존 금융·공공 보안 체계의 한계를 드러냈다.
양자컴퓨터는 공개키 암호를 무력화할 수 있어 선공격 후해독(HNDL) 대비와 양자내성암호(PQC) 전환이 시급하다. 전문가들은 국가 안보를 위해 기술·제도·거버넌스를 아우르는 차세대 보안 체계를 조속히 구축해야 한다고 강조한다.
이런 가운데 지난 12일 국회에서는 ‘디지털 혁신과 보안 안전성 확보를 위한 정책 방향’이라는 주제로 간담회가 열렸다.
이날 간담회에서 이주희 의원(국회 과방위 소속)은 미토스 사례가 보여준 AI 기반 공격의 현실성을 지적하며, “AI·양자 시대에 맞는 새로운 보안 정책 논의될 필요성이 있다”고 강조했고, 김종현 한국핀테크산업협회장은 “AI가 단순 도구를 넘어 ‘행위자’로 진화한 만큼, AI 보안을 국가 전략 과제로 다뤄야 한다”고 강조했다.
또 우길수 정보보안담당자협의회장(아톤 대표)은 “AI 에이전트 확산과 양자컴퓨팅 도래가 금융 인프라에 큰 압력을 주고 있지만, 법·제도는 이를 따라가지 못하고 있다”며 산업계·정부·학계의 공동 대응을 촉구했다.
간담회 제1세션에서는 AI 에이전트가 단순한 보조 도구를 넘어 ‘권한을 가진 행위자’로 진화하며 산업 전반의 보안 패러다임을 흔든다는 분석이 제기됐다.
최대선 숭실대 AI안전성연구센터장은 "(미토스 사례를 통해) AI가 취약점 탐색부터 공격 경로 설계, 실행·관찰·재공격까지 전문가 수준의 해킹 과정을 스스로 수행한다”며, “위험의 핵심은 AI의 ‘지능’이 아니라 ‘행동 권한’”이라고 말했다. 그는 특히 "금융 분야에서는 송금·대출·투자 등 고위험 업무까지 자동 수행 에이전트가 나와 기존 본인인증·명시적 동의·사람 승인 절차를 우회하는 사례가 나타나고 있다"고 경고했다.
최 센터장은 "AI 에이전트 보안이 ‘에이전트를 이용한 공격’과 ‘에이전트 시스템 자체에 대한 공격’이라는 두 축을 동시에 관리해야 한다"고 지적하며 “현재의 보안 기술이 식별·권한·승인·추적 등 개별 기능의 조합 수준에 머물러 있어 통합적 통제 체계 부재와 에이전트가 스스로 계획을 세우고 명령을 반복 실행하는 특성은 기존 보안 모델이 감당하기 어려운 새로운 위험을 만들어내고 있다”고 분석했다.
잘못된 답변보다 더 위험한 것은 잘못된 행동이며, 이를 통제할 수 있는 구조가 필요하다는 설명으로 읽힌다.
아울러 "AI 시대의 보안은 기존 사이버 보안의 연장선이 아니라 ‘권한을 가진 AI 행위자’를 관리하는 새로운 보안 체계로 재정립되어야 한다”며 "차단보다는 AI가 안전하게 행동하도록 통제하는 구조와 이를 위해 산업·정책·기술 전반의 보안 프레임워크를 근본적으로 재설계해야 한다"고 제언했다.
이창민 고려대 교수는 양자컴퓨팅의 등장이 국가 안보 전반에 중대한 변화를 가져올 것이라는 분석과 함께 데이터 주권의 중요성을 강조했다.
이 교수는 “국방·외교·첨단기술 등 핵심 분야의 민감 정보가 지속적으로 해킹 시도에 노출되고 있다”며, “현재 인터넷 서비스 전반에 사용되는 공개키 암호 체계가 양자컴퓨터 앞에서는 무력화될 수 있다”고 진단했다.
또한 "암호문을 미리 탈취해 두었다가 양자컴퓨터가 실질적 성능을 갖춘 시점에 복호화하는 HNDL(Harvest-now, Decrypt-later) 공격이 현실적 위협으로 부상하고 있다"고 짚었다.
이 교수는 “이러한 위험에 대비하기 위해 양자컴퓨터에서도 안전한 새로운 공개키 암호, 즉 양자내성암호(PQC)가 필수”라며 "국내도 KpqC라는 자체 PQC 알고리즘이 개발된 만큼, 국가 차원의 보안 체계를 조속히 전환해야 한다"고 강조했다. 그는 다만 “새로운 암호가 실제로 안전한지, 구현 과정에서 취약점이 발생하지 않는지 철저한 검증이 우선되어야 한다”고 덧붙였다.
최 교수는 “양자보안은 단순한 기술 문제가 아니라 미래 국가 안보 전략의 핵심 과제”라며, “양자컴퓨터가 전면에 등장하기 전에 얼마나 준비하느냐가 국가 경쟁력을 좌우할 것”이라고 재차 강조했다. 최 교수는 정부·산업계·학계가 함께 대응 전략을 정교하게 마련해야 한다고 주문했다.
안수현 한국외대 법학전문대학원 교수를 좌장으로 해서 진행된 토론에서는 김계정 법무법인 김앤장 변호사, 이상근 고려대 정보보호대학원 교수, 지은경 과기정통부 정보보호기획과 과장, 성인제 금융보안원 AI 전략팀장, 우길수 정보보안담당자협의회장(아톤 대표), 이정아 라온시큐어 대표 등이 참여했다.
지은경 과기정통부 정보보호기획과장은 “중장기적인 ai를 활용, 보안체계 전환 필요성이 커지고 있는 만큼 보안 솔루션을 LLM 기준으로 바꾸도록 지원하고, 독자 기술 확보를 위한 노력으로 K보안특화모델 개발을 위해 노력해야 한다"며 "정부는 2030년까지 양자내성암호 상용화를 위한 목표를 설정하고 추진하고 있다”고 설명했다.
우길수 한국핀테크산업협회 정보보안담당자협의회 대표는 "최근 미토스 사례를 계기로 금융권에서도 AI 기반 해킹 위협이 현실화됐다"며, "사람의 대응 속도로는 고도화된 공격을 막기 어려운 만큼, ‘AI로 AI를 방어하는 체계’가 필수라고 강조했다.
그는 "현재의 사전 승인 중심 보안 거버넌스가 절차가 복잡해 대응이 늦어지는 만큼, 사후 보호·사후 감사 중심으로 전환하고 위험도에 따른 차등 규제를 도입해야 한다"고 짚으며 "금융권 인증체계가 RSA·ECC 기반인 점을 고려하면, 인증서 유효기간(최대 3년)을 감안해 양자컴퓨팅 도래 시점을 역산해 최소 4~5년 전부터 양자내성암호 기반 인증서를 준비해야 한다"고 강조했다.
성인제 금융보안원 AI전략팀장은 초고성능 AI 도입에 따른 '공격과 방어의 속도 차이'를 현실적 위협으로 지적했다. 이에 대응하기 위해 최고경영자(CEO)의 위험 인지와 제로트러스트 기반 보안 전환을 주문한 그는 "특히 금융권의 빠른 AI 도입에 맞춰 방어 체계 역시 AI 기반으로 전환하고, 위협 발생 전에 작동하는 예방 중심 시스템을 구축해야 한다"고 강조했다.
이상근 고려대 교수는 "AI 등장으로 취약점 발견 후 패치 시간이 수년에서 10시간으로 단축됐다"며 "공격 역량은 지식이 아닌 '토큰 비용'으로 전환된 점에 주목해야 한다"고 말했다.
이 교수는 "그러나 망분리 중심의 기존 거버넌스는 이러한 대응 속도를 따라가지 못하며, 공공기관의 보안 인력 부족과 낮은 예산도 걸림돌"이라며 "AI 시대에는 성능보다 '신뢰'가 중요하다"고 강조했다. 그는 취약점 제보자의 책임 완화 등 제도적 개선을 강조했다.
김계정 법무법인 김앤장 변호사는 "금융권이 망분리 체계를 유지해온 덕분에 해킹 위험은 낮았지만, 이로 인해 AI 도입이 지연되고 있다"고 지적했다.
김 변호사는 "금융회사가 AI를 활용하려면 외부 AI 서버와의 연결이 필요한데, 망분리 규제가 그대로 적용되며 활용 범위가 제한된다"며 "미토스 등장 이후 AI 기반 해킹 위협이 커진 만큼 금융권에서도 AI 기반 보안 기술을 도입할 수 있도록 제도를 개선해야 한다"고 주문했다. 또한 "금융 보안의 핵심인 공개키 암호 체계가 HNDL 공격에 취약해질 수 있어, 책임 소재 문제까지 고려한 새 암호 체계가 시급하다"고 강조했다.
이정아 라온시큐어 대표는 "산업계가 양자내성암호(PQC)를 검증 중이나 에이전틱 AI의 위험성이 커 권한의 위임과 오남용을 통해 관리할 체계가 필요하다"며 "향후 AI 에이전트 간 상호작용에 대비해 인간이 이를 최종 통제할 수 있는 보안 구조를 필수적으로 구축해야 한다"고 말했다.
국내 위협 확산에 맞서 독자적인 파운데이션 모델과 AI 특화 보안 모델을 개발하는 것이 보안 산업 도약의 핵심이라는 설명이다.
이번 간담회는 AI 에이전트와 양자컴퓨팅이라는 거대한 기술적 변곡점 앞에서 대한민국 보안 체계의 전면적 혁신이 시급함을 확인한 자리였다. 전문가들은 기술적 대응을 넘어 최고경영진의 인식 전환, 제도적 규제 완화, 그리고 독자적인 AI 보안 모델 확보가 유기적으로 맞물려야 한다고 입을 모았다.
급변하는 기술 위협 속에서 인간의 통제력을 유지하고 선제적 예방 중심의 거버넌스를 구축하는 것이 향후 안보와 산업 경쟁력을 좌우할 핵심 과제가 될 전망이다.
