국회 과학기술정보방송통신위원회(과방위)가 정부에 최근 반복되는 사이버 침해사고와 개인정보 유출 문제에 대한 면밀한 대응을 주문했다.

인공지능(AI)이 세계 최고 수준의 '해커'가 될 수 있다는 '미토스 쇼크'와 관련해서는 정부가 제시한 AI 보안 전략이 선언에 그치지 않도록 구체적인 추진전략 등을 마련해야 한다는 지적이 이어졌다.

최근 결혼정보회사 듀오 가입자의 개인정보가 유출된 것과 관련해서는 사전 예방 중심의 보안체계 전환을 강조했다.

이주희 더불어민주당 의원은 28일 국회 과방위 현안 질의에서 "AI로 AI를 방어하는 체계 등을 (미토스) 사태의 (해결) 방안으로 제시하신 것 같은데 보다 구체적인 방안이 나와야될 것 같다"고 말했다.

이에 류제명 과학기술정보통신부 제2차관은 "미토스가 던져 주고 있는 여러 가지 숙제를 해결하기 위해 내년도 예산에 반영하는 작업이 이뤄져야 한다"며 "지금 당장 급한 문제는 기업과 AI 안전연구소 등을 활용해서 보안 위협에 실시간으로 대응하는 대응 노력들을 지속해야 한다"고 답했다.

류 차관은 "중소기업들도 제대로 대처할 수 있도록 중소기업에 대한 컨설팅이나 기업의 보안 책임자들이 또는 CEO들이 취해야 할 여러 가지 조치에 대한 가이드라인 이런 것들을 빨리 지금 배포하고 현장 적용하는 이런 것들이 동시다발적으로 필요하다"고 강조했다.

한민수 국민의힘 의원은 결혼정업체 듀오에서 발생한 개인정보 유출 사고를 언급하며 화이트해커를 활용해 사전에 취약점을 발굴하는 버그 바운티(보안 취약점 신고제) 활성화 등이 필요하다고 했다.

개인정보보호위원회에 따르면 최근 듀오는 전체 정회원 42만 7464명의 개인정보가 유출됐다. 유출된 개인정보에는 ID, 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일주소, 휴대전화번호, 주소, 신장, 체중, 종교, 취미, 혼인경력, 형제관계, 장남·장녀 여부, 학교명, 전공, 입학 및 졸업 연도, 학교 소재지, 입사 연월, 직장명 등이 담겼다.

한 의원은 "쿠팡, 통신사를 넘어 최근에는 결혼정보업체에서까지 침해사고가 발생하고 있다"며 "이런 반복되는 사이버 침해사고의 고리를 끊어 내기 위해 선제적인 예방 중심의 대응 체제가 필요하다"고 지적했다.

이에 류 차관은 "국내 기업은 자발적으로 버그를 드러내는 등의 인식이 부족하다"며 "특히 중소기업이 (보안 등에) 취약한 상황이다. (버그 바운티) 정착을 위한 모범 사례를 다른 기업하고 중소기업으로 확대할 수 있는 방안을 집중 고민하겠다"고 했다.

이해민 조국혁신당 의원은 미토스 쇼크’와 관련해 AI 기반 해킹 기술의 확산 속도에 비해 정부 대응이 늦다고 지적했다. AI를 활용한 해킹이 대중화·자동화·가속화되는 상황에서 국내 보안 대응 체계는 여전히 기획·설계 단계에 머물러 있다는 지적이다.

이 의원은 "보안 관련 중장기 기술개발이 완료될 때쯤이면 이미 무용지물이 될 수 있다. 우리나라가 한 발짝씩 늦는 상황에 놓일 수 있다"며 "제 보안 위협을 체감하는 기업과 국민 입장에서 타임라인을 설정하고 수요자 중심으로 대응 전략을 전환해야 한다"고 꼬집었다.


LG유플러스(032640) 가입자 식별번호(IMSI) 설계 문제도 언급됐다. LG유플러스는 가입자 식별번호(IMSI) 설계 결함으로 인해 이달 13일부터 전 가입자를 대상으로 무상으로 유심 업데이트 및 교체를 진행하고 있다.

이주희 의원이 '사안의 기술적 위험성을 어느 정도로 보고 있느냐'는 질문에 류 차관은 "MSI 체계에 전화번호가 포함돼 있어 노출 가능성은 존재하지만 현재까지 직접적인 피해로 확인된 사례는 없다"며 "위치 정보 노출 등 가능성이 있는 만큼 취약점은 신속히 개선할 필요가 있다"고 했다.

한편 배경훈 부총리 겸 과기정통부 장관은 이날 엑스(X·옛 트위터) 계정을 통해 '독자 파운데이션모델'이 우리나라 AI 보안 주권을 지키는 핵심 기반이 될 것이라고 밝히기도 했다.

배 부총리는 "AI 보안 모델의 핵심은 결국 파운데이션 모델의 성능"이라며 "독자적으로 다룰 수 있는 AI 모델을 보유해야 우리 상황에 맞는 AI 보안 모델과 방어 시스템도 만들 수 있다"고 말했다.

minju@news1.kr