정부, AI로 해킹사고 초동 및 후속 처리...추가 피해 시설까지 예측한다

[파이낸셜뉴스] 정부가 사이버 침해 사고 대응 체계 전반에 대규모언어모델(LLM) 기반 생성형 인공지능(AI)을 적극 도입하는 것은 AI의 등장으로 인해 사이버 공격 수법 양상이 빠르게 진화하고 있다는 판단 때문이다. 한국인터넷진흥원(KISA)은 2027년 1월부터 AI기반 침해대응시스템 구축을 통해 특화 LLM으로 해킹 사고 분석 및 사후조치를 진행할 예정이다. AI로 위협분석을 통해 '추가 피해 시설'을 예측하고 피해 기관에 추가 대응과 조사를 유도하기 위한 조치다.

■AI 확산에 사이버 침해 사고 272% 급증

13일 과학기술정보통신부 및 한국인터넷진흥원(KISA)에 따르면 지난해 사이버 침해 사고 신고 건수는 2024년 1887건에서 2025년 2383건으로 전년 대비 26.3% 증가했다. 2021년(640건)과 비교하면 4년 새 272%나 급증했다.

최근 급격히 늘어나고 있는 사이버 범죄 건수는 AI의 확산과 무관하지 않다는 분석이다. 시장조사기관 가트너는 오는 2027년까지 AI 기술을 활용한 공격 도구로 인해 사용자 계정 탈취에 소요되는 시간이 절반으로 줄어들 것으로 예측했다.

AI를 악용한 사이버 공격이 위협적인 이유는 기존 시그니처(패턴 정의) 기반 방식으로는 탐지가 어렵다는 점이다. 딥페이크 음성 및 영상 기반 피싱에 대응하기 위해선 실시간 인증 기술과 AI 기반 위조 탐지 알고리즘의 고도화가 필요한 상황이다.

이에 KISA는 조직 내 사이버 침해 분석·대응 업무에 특화된 LLM을 도입하기로 했다. 기존 LLM에 특정 환경에 적합하도록 데이터를 학습시켜 맞춤형 모델로 고도화하는 파인튜닝(미세조정)을 통해 침해사고 분석·대응 업무에 특화된 전문 LLM을 구축하려는 것이다. 과거 발생한 침해사고 정보를 분석·가공해 사용자 질의 문맥을 이해해 적합한 답변을 제공하는 검색·추론 기능도 탑재한다. LLM과 연동해 유사·연관 사고 조회, 포렌식 초동 분석, 보고서 작성 등을 지원하는 AI 에이전트 10종도 개발한다.

■AI로 사이버 침해 사고 초동조치 역량 강화

AI 기반 악성코드 식별을 위한 유사도 분석 및 위험도 평가체계를 수립하는 등 보안 시스템 전반에 AI 적용을 고도화한다. 악성코드 분석을 통해 확인된 공격자의 인프라 정보를 바탕으로 수행사 자체의 탐지 센서를 활용한 예상 피해지 식별도 가능해진다. 필요 시 피해지 조사를 유도해 추가 위협 식별이 이뤄질 수 있을 전망이다. 앞서 KISA는 AI 보안 전담 조직인 AI보안산업본부를 신설하는 등 AI를 중심으로 한 대대적인 조직 체질 개선에 속도를 내고 있다.

이원태 국민대 특임교수는 "지난해 발생한 사이버 침해 사건들이 가장 무서운 이유는 AI 공격이 아니었기 때문"이라며 "만약 취약점 스캐닝 자동화, 공격 전술 자동 조합 등 AI 공격이 더해졌다면 파괴력은 지금의 5배에서 10배는 됐을 것"이라고 지적했다.

기업의 사이버 침해 늑장신고·미신고 대응을 위한 초동 조치 역량 향상도 기대된다.

국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원이 KISA로부터 제출받은 자료에 따르면 2024년 8월 이후 1년간 늑장·미신고 사례는 총 66건이다. 지난 2024년 침해사고 발생 시 24시간 내 신고 의무화를 골자로 한 정보통신망법 개정안이 통과됐지만, 일부 기업들은 사고를 인지한 뒤에도 1년이 지나서야 신고하는 사례가 확인되고 있다.

특히 사이버 침해 사고가 발생한 기업 중 KISA 기술지원을 요청한 비율은 절반 수준에 그쳤다. 지난해 상반기 침해사고 신고 기업 중 41.7% 만이 KISA 측에 기술지원을 요청한 것으로 나타났다.

이는 2024년(54.4%)에서 12.7%p나 하락한 수치다.

AI 기반 사이버 침해 사고 대응 역량을 고도화할 경우 KISA의 고질적 인력 부족 문제도 완화될 것으로 기대된다. 현재 KISA에서 사이버 침해 사고 분석을 담당하는 인력은 20명 안팎에 불과한 것으로 알려졌다.

mkchang@fnnews.com 장민권 기자