1. ‘완전 범죄’를 일상으로 하는 디지털 살인자들
증거 하나 남기지 않고 범죄 현장을 완벽하게 정리하는 살인범을 상상해보세요. 전문 해커 집단은 바로 이 같은 일을 매일 반복하고 있습니다. 국내 최고 보안 전문가들이 경고하는 ‘매일 완전 범죄를 벌이는 살인자’ 같은 북중 해커들의 실체는 우리가 생각하는 것보다 훨씬 위험합니다. 해킹은 단순한 기술 공격이 아닌 투자수익률(ROI) 게임입니다. 기술적으로는 국가 요인의 휴대폰도 수백억 원을 투자하면 뚫을 수 있지만, 아직은 투자 대비 수익이 나지 않아 하지 않는 것일 뿐입니다. 더 무서운 것은 에이전트AI 시대가 본격화되면 상황이 완전히 달라질 것이라는 점입니다. AI가 사용자의 일상을 대신 처리하게 되면 프롬프트 인젝션 공격을 통해 에이전트가 해커의 의도대로 행동하도록 유도할 수 있게 됩니다.
2. 한국 보안 시스템의 근본적 취약점: 최저가 입찰과 재하청 구조
한국이 보안 취약국으로 평가받는 이유는 근본적인 시스템 문제에 있습니다. 정부의 최저가 입찰제도와 소프트웨어 업계의 하청-재하청 구조가 보안에 치명적인 구멍을 만들고 있습니다. 한 국내 안보 기관은 시스템 업그레이드를 위해 계약한 업체가 도산하는 바람에 어쩔 줄 몰라 했던 적도 있습니다. 더 큰 문제는 ‘루트 키’ 같은 최고 보안 권한의 방치입니다. 금고 열쇠와 같은 루트 키를 한 사람에게 맡겨두고, 그 사람이 퇴직했는데도 아무도 모르는 상황이 실제로 발생했습니다. 이러한 기본적인 보안 원칙의 무시는 기술적으로 복잡한 해킹보다 더 위험한 상황을 초래합니다. 방어자는 모든 구멍을 막아야 하지만 공격자는 단 한 번만 성공하면 되는 ‘디펜더스 딜레마’가 점점 커지고 있습니다.
3. ‘소버린 시큐리티’: 모든 정보가 털렸다고 가정하고 재설계해야
이병영 서울대 교수와 신종호 LG전자 연구위원이 강조하는 해결책은 ‘소버린 시큐리티’ 개념입니다. 대한민국의 모든 정보가 이미 유출되었다고 가정하고 원점에서 보안 체계를 재설계해야 합니다. 이는 두 가지 핵심 원칙을 기반으로 합니다: 첫째, ‘최소 권한 원칙’으로 각 개인과 시스템이 자신의 역할에 꼭 필요한 권한만 갖도록 제한하는 것입니다. 둘째, ‘다층 방어’로 단일 실패 지점을 제거하는 체계를 구축하는 것입니다. 빅테크 기업들도 이미 이 문제의 심각성을 인지하고 있으며, 마이크로소프트는 개발자를 대량 해고하면서도 ‘책임있는 AI’ 팀을 400명 수준으로 유지하고 있습니다. 기술 발전 속도를 따라잡기 어려운 현재 상황에서 정부는 구체적인 대응보다는 이러한 대원칙을 제시하고, 민간까지 보호할 수 있는 플랫폼형 체계를 구축해야 합니다.
