보안은 미토스 이전과 이후로 나뉜다. 이제 인공지능을 전제하지 않거나, 인공지능이 없이는 대응할 수 없다. 사후 대응에서 동시성 방어로 전환해야 하고, 뚫린다는 것을 전제로 정책을 짜야 한다. 1년에 한 번 인증으론 당연히 안 된다.

미토스 얘기를 할 차례다. 그전에 프로야구 얘기부터. 20년 내리 꼴찌를 하고 있는 팀이 있다고 하자. 내내 같은 감독이었다. 구단에서 그 감독을 이번 시즌에도 또 쓰겠다고 한다면 팬들 마음이 어떨까? 롯데와 한화 팬들은 이 마음을 아주 잘 알 것이다.(심지어 올해 롯데는 '봄데(봄+롯데)'도 없어졌...)

20년째 내리 꼴찌를 한 이유가 뭔지, 그 이유에서 감독이 차지하는 비중은 얼마나 됐는지, 그래서 무얼 바꾸면 달라질 건지, 어떻게 바꿀 건지, 내년 시즌 상대 팀의 전력은 어떤지, 그래서 우리는 뭘 하려고 하는지. 팬들이 이런 리포트를 먼저 내놓으라고 요구한다면 그건 너무 당연하게 받아들여질 것이다.

케이(K)-푸드, K-뷰티, K-팝 등 'K-열풍'이다. 한국을 찾는 해외관광객 수도 갈수록 늘고 있다. 2025년에는 1850만 명을 돌파, 역대 최고 기록을 깼다. 한국 화장품을 찾고, 한국 먹거리를 찾고, 한국 패션을 찾는다. 그런데! 놀랍게도 세계적인 한국 쇼핑몰이 하나도 없다. 

알리니 테무니 중국 쇼핑몰이 하루가 다르게 한국시장 점유율을 높이는데 어째서 한국 쇼핑몰은 하나도 해외로 나가지 못할까? 한국 쇼핑몰은 휴대폰 본인 인증을 요구한다. 그게 없으면 인증서를 보여달라고 한다. 해외 신용카드나 페이팔과 같은 글로벌 결제 수단을 지원하지 않는 경우도 허다하다. 그러니 해외에서 K-푸드, K-뷰티, K-팝을 사고 싶어도 살 도리가 없는 것이다. 안 팔겠다는데…

'액티브엑스'는 아주 쉽게 말하면 브라우저에서 PC에 접근할 수 있게 해주는 프로그램이다. 컴퓨터에 있는 파일을 읽고 프린터를 쓰고 컴퓨터의 설정을 변경하는 일들을 할 수 있게 해준다. 문제는 설치에 동의하는 순간 내 컴퓨터의 관리자 권한을 갖게 된다는 점이다. 내 컴퓨터의 모든 정보가 넘어간다. 잠깐 놀러 온 친구에게 집안의 모든 키를 죄다 넘겨준 꼴이다. 

마이크로소프트는 15년 전인 2011년 윈도8부터 액티브엑스 기술을 퇴출했다. 계속해서 액티브엑스를 쓸 수 있게 해달라고 한 것은 대한민국의 보안당국이다. 공인인증서를 써야 한다는 것이다. 공인인증서는 애초에 보안을 강화하기 위해 채택한 것인데, 그걸 쓰기 위해 가장 보안이 취약한 액티브엑스를 남겨달라는 것이다. 무슨 이런 보안당국이 다 있지?

'구라제거기'가 세계 최고의 보안컨퍼런스 <USENIX Security '25>에 논문으로 채택됐다. 논문제목은 '과유불급'. 한국의 강제 설치 보안 소프트웨어들이 오히려 PC의 공격 표면을 넓히고 시스템을 더 취약하게 만든다는 사실을 밝힌 논문이다. '구라제거기'는 은행이나 관공서에 접속하면 깔기를 요구하는 숱한 보안프로그램들을 한 번에 지울 수 있게 도와주는 프로그램의 이름이다. 그게 다 '구라(거짓말)'라는 것이다. 

은행이나 관공서에 접속할 때마다 5~10개의 서로 다른 업체가 만든 키보드 보안, 방화벽, 백신 등 보안 프로그램이 설치된다. 그 결과? 해커로서는 이제 윈도 자체의 취약점을 찾을 필요가 없다. 설치된 10개의 프로그램 중 가장 실력이 낮은 업체가 만든 프로그램의 구멍 하나만 찾으면 PC 전체의 권한을 단번에 탈취할 수 있다. 

보안을 위해 설치했더니 되레 '수십 개의 뒷문'을 열어준 꼴이다. <USENIX Security '25> 논문에 따르면 한국 보안 프로그램들을 전수 조사한 결과 이미 10년 전에 해결된 버퍼 오버플로우 등 아주 기초적인 취약점이 여럿 발견됐다. 맙소사… 

게다가 이런 관행이 몹시 나쁜 것은 사용자로 하여금 습관적으로 '예'를 클릭하게 한다는 것이다. 한국 사용자들은 무언가 설치하라는 팝업이 뜨면 내용도 보지 않고 '확인'이나 '예'를 누르는 습관이 있다. 보안 정책이 사용자를 '무조건적인 수용'에 길들여 버린 것이다. 무슨 이런 보안당국이 다 있지?

2026년의 대한민국 공무원들은 여전히 모바일로 일을 하지 못한다. 클라우드도 제대로 못 쓴다. 클라우드 정책을 펴는 담당자도 마찬가지다. 자기가 써본 적도 없는 일을 정책으로 만들고 있는 셈이다. 물론 보안당국때문이다. 영국정부가 '클라우드 퍼스트'를 내세운 게 2013년이다. 그 13년 뒤에도 대한민국 정부는 클라우드를 제대로 쓰지 못하고 있다. 무슨 이런 보안당국이 다 있지?

이제 미토스 얘기를 할 시간이다. 미토스는 앤트로픽이 만든 최신 인공지능(AI) 모델이다. 압도적인 해킹능력을 가지고 있다. 단 몇 초 만에 수십 년간 발견되지 않았던 제로데이 취약점을 찾아낸다. 앤트로픽에 따르면 모든 주요 운영체제(OS)와 브라우저에서 수천 개의 고위험 취약점을 순식간에 발견했다. 

그래서 보안은 미토스 이전과 이후로 나뉜다. 이제 인공지능을 전제하지 않거나, 인공지능이 없이는 대응할 수 없다. 사후 대응에서 동시성 방어로 전환해야 하고, 뚫린다는 것을 전제로 정책을 짜야 한다. 1년에 한 번 인증으론 당연히 안 된다. 실시간 상태 검증이 가능해야 한다. 

보안 상태는 응용 프로그램 인터페이스(API)로 상시 공개할 수 있어야 하고, 개방형보안통제평가언어(OSCAL, Open Security Controls Assessment Language)와 같은 국제표준을 사용해 인공지능이 자동화할 수 있게 해야 한다. 그래야 기계가 읽을 수 있고, 상호 운용이 가능하며 인공지능을 활용한 지속적인 모니터링이 가능하다.

그런데 그 감독을 데리고? 그 보안당국이 또 이걸 한다고? 사이버 보안을 국가정보원이 맡을 수도 있고 과학기술정보통신부가 맡을 수도 있고, 새 환경에 맞게 새로운 기관을 만들 수도 있다. 그 전에 반드시 해야할 일이 있다. 지금까지의 보안정책이 왜 이렇게 해괴하게 흘러올 수 밖에 없었는지, 어떤 가버넌스상의 잘못이 이러한 문제들을 방치해 왔는지, 그래서 그걸 어떻게 고칠 수 있는지, 고치려고 하는지를 먼저 얘기해야 한다.

국정원과 과기정통부가 각기 이런 보고서를 만들면, 그 보고서를 놓고 최고의 민간 전문가들이 함께 토론할 수 있다. 무엇보다도 정부 안에서 부처끼리만 깜깜이로 협의한 채 어물쩍 넘어가선 절대로 안 된다. 우리는 이 감독이 무슨 생각을 하고 있는지, 문제를 어떻게 파악하고 있는지를 요구할 권리가 있다. 숱한 피해를 감내해 왔다.

우리는 가을야구를 하고 싶다. 한국의 세계적인 쇼핑몰이 K-푸드, K-뷰티, K-팝을 즐겁게 파는 걸 보고 싶고, 혈압이 오르지 않은 채 인터넷 뱅킹을 해보고 싶다. 이게 그렇게 큰 꿈인가.

◆ 박태웅 녹서포럼 의장

한빛미디어 이사회 의장을 비롯해 KTH, 엠파스 등 IT 업계에서 오래 일했으며 현재 녹서포럼 의장으로 활동하고 있다. IT산업발전에 기여한 공로로 2021년 동탑산업훈장을 수훈했다. 저서로는 <눈 떠보니 선진국>, <박태웅의 AI 강의> 등이 있다.