K-방산은 해킹에 가장 큰 타격을 받을 수 있는 국내 전략 산업의 ‘약한 고리’다. 오래 전부터 북한의 집중적인 해킹 타깃이 되어온 데다 최근 수출 규모까지 커지고 있는 산업 특성 때문이다. 전문가들은 인공지능(AI) 발전으로 해킹 기술도 비약적으로 고도화되는 상황에서 이에 대한 대응책 마련이 시급하다고 입을 모으고 있다.

▶방사청, 36억원 규모 사이버보안 진단사업 발주=28일 조달청에 따르면 방위사업청은 최근 36억원 규모의 ‘2026년 사이버보안 취약점 진단사업’을 발주했다. 해당 사업은 방사청이 2021년부터 정례사업으로 추진해왔다. 초기에는 10개사 대상 시범 사업으로 시작했으나 이듬해 80여곳, 올해는 중소·중견기업을 포함해 120~130곳을 대상으로 진행한다는 계획이다. 사이버 공격이 고도화하고 있는 현실을 고려해 AI 해킹 대응 체계 등도 함께 점검한다.

지난해 11월에는 방사청 출연기관인 국방기술품질원이 1억2000만원 규모로 ‘방산 사이버보안 관제체계 통합유지관리’ 용역을 발주했다. AI 해킹 위협이 늘어나면서 정부 차원에서 방산 분야 사이버보안 체계 마련에 나선 것으로 해석된다.

방사청은 최근 방산 기업들에 사이버 공격을 주의하라는 내용의 공문을 보내기도 했다. 여기에는 올해 AI 기술을 악용한 기술 유출이 늘어날 수 있다는 경고가 담겼다.

방사청은 이 공문에서 “2026년에는 사회공학적 기법 해킹 공격에 생성형 AI와 맞춤형 악성코드를 활용한 해킹 공격이 고도화할 것으로 예상된다”고 밝혔다. 그러면서 방사청은 업무용 컴퓨터에서 생성형 AI 사용을 차단하고, 불가피하게 활용하는 경우 민감한 정보를 입력하지 않을 것을 주문했다.

맞춤형 악성코드란 불특정 다수를 대상으로 하는 바이러스와 달리 특정 기업 혹은 기관을 겨냥해 만든 바이러스를 이른다. 생성형 AI가 자동으로 기업 시스템을 스캔해 해킹 코드를 생성할 수 있다는 이야기다.

▶“K-방산 기술 유출 위험도, 전 세계 최고 수준”=일각에서는 지정학적으로 우리나라 방산 기술의 해킹 위험도가 높은 상황에서 정부가 뒤늦게 대응책 마련에 나섰다는 지적이 나온다. 그동안에도 국내 방산 기술은 꾸준히 북한 해킹 공격의 타깃이 돼 왔기 때문이다. 여기에 첨단 기술 발전에 해외 수출까지 확대되면서 사이버 공격에 더욱 취약한 구조가 됐다는 분석이다.

AI 해킹 기술은 생성형 AI 등장으로 급속도로 진화하기 시작했다. 미국 보안기업 슬래시넥스트(SlashNext) 보고서에 따르면 챗GPT 서비스가 출시된 이후 AI 피싱은 출시과 비교해 4151% 급증했다.

장원준 전북대 첨단방위산업학과 교수는 “최근 사이버 공격은 미국 방산 기업들도 위협할 정도로 수준이 올라와, 한국의 방산 기술 유출 위험은 전 세계에서 가장 높은 수준이라고 해도 과언이 아니다”라고 설명했다.

방사청은 지난 2024년 방산 업체를 대상으로 사이버보안 관제체계 등을 운영하고 있지만 선진국과 비교해선 여전히 열악하다는 목소리가 나온다.

▶‘제로 트러스트’ 적용 필요성도=임종인 고려대 정보보호대학원 교수는 “최근에는 AI 해킹을 다시 AI로 막는 ‘제로 트러스트(Zero Trust)’ 개념이 대두되고 있다”며 “주로 IT 업계에서 쓰이는 개념인데 방산 분야에서도 적용할 필요가 있다”고 강조했다. 말그대로 ‘아무도 믿지 말라’는 뜻의 제로 트러스트란 실시간으로 발전하는 AI 사이버 공격에 대응해, 보안체계 역시 AI에 기반해 상시적으로 유지하는 개념을 이른다.

방산뿐 아니라 산업 전반에 해킹 위협이 커지고 있는만큼 정부 직속 컨트롤타워가 필요하다는 주장도 꾸준히 나오고 있다.

그러나 사이버보안 컨트롤타워 구축을 골자로 하는 법안은 지난 17~21대 국회에서 빠짐없이 발의됐지만 줄줄이 임기 만료로 폐기됐다. 지금 국회에선 국가사이버안보위원회 신설 등의 내용을 담은 유용원 국민의힘 의원이 발의한 ‘국가사이버안보법’이 상임위원회에 계류 중이다.

임 교수는 “과거엔 악성코드가 나타나면 백신으로 이를 막았지만, 지금은 신종 악성코드가 계속해서 만들어지는 상황이기 때문에 개별 기업이 대응하기에도 한계가 있는 구조”라고 지적했다. 박혜원 기자