철학자 제레미 벤담이 고안한 파놉티콘은 강력한 규율과 감시가 작동하는 감옥이다. 간수는 한가운데 높은 감시탑에 앉아 모든 죄수의 일거수일투족을 지켜본다. 그러나 죄수는 감시탑 안의 간수를 볼 수 없다. 사이버위협이 크면 정부는 보안을 강화한다. 보안강화가 규율과 감시로 이어지면 기업과 개인의 멀쩡한 자유까지 덩달아 억압된다. 사이버위협을 막고 보안을 강화하려다 파놉티콘이 되고 만다. 정말 그럴까. 국민이 무지몽매한 시절이면 몰라도 자유를 최상위에 놓은 현대국가에서 그건 쉽지 않다.
사이버공격과 보안기술은 동전의 양면과 같다. 보안강화 기술은 보안침해 기술이 될 수도 있다. 암호기술은 데이터를 지키는 도구지만 범죄은닉 수단도 될 수 있다. 해킹은 방어시스템을 무력화하고 데이터를 훔치지만, 취약점을 찾아 개선하고 범죄증거를 찾는데 쓸 수 있다. 그 양면성으로 인해 사이버보안은 기존의 기술과 다른 형태의 윤리를 요구한다. 철학자 루시아노 플로리디에게 사이버공간은 정보로 이뤄진 세계일뿐 아니라 기술을 넘어 삶이 이뤄진다. 사이버공간의 흠결 제거가 보안의 핵심역할이 된다. 사이버보안 침해는 재산뿐만 아니라 프라이버시 등 인간가치를 파괴한다. 사이버보안의 조직, 내용, 수준 등 방어시스템은 공동체의 숙의를 통해 결정될 수밖에 없다.
사이버공격은 어떻게 진화하고 있을까. 철학자 질 들뢰즈와 펠릭스 가타리의 생각에서 단서를 찾자. '수목형 모델'은 뿌리, 몸통, 가지, 잎 등 구성요소 간에 획일적 위계와 명령·복종의 체계를 갖춘 나무다. 하던 일을 반복하고 고착시키는 예전 보안시스템이 그렇다. 이에 비해 '리좀형' 모델은 땅속에서 줄기가 불규칙하게 사방팔방으로 뻗어가는 식물이다. 수직이 아니라 수평으로 연결된다. 질서·위계 없이 뻗어 나가고 다른 것과 접속·일탈·분해·결합·중단·재개를 거듭한다. 원칙·질서와 그에 따른 명령·복종 체계는 존재하지 않는다. 어디서든 시작하고 어디서든 멈출 수 있다. 장애가 있으면 부딪쳐 뚫거나 결합하고 우회하며 확장한다. 접속과 일탈은 반드시 같은 것과 이뤄질 필요가 없고 다른 것도 마다하지 않는다. 체계나 원칙, 시스템에 갇히지 않은 이질적인 것이 결합하고 떨어지면서 또 다른 것을 만든다. 인공지능(AI) 시대의 사이버공격이 그와 같다.
AI는 생성형 AI를 기반으로 AI에이전트, 피지컬 AI로 진화를 거듭하고 삶을 풍요롭게 하고 있다. 좋은 일만 있진 않다. AI가 인간을 대신해 활발히 활동하면서 사이버위협을 가할 수 있는 공격 접촉면이 많아지고 넓어지며 다양화되고 있다. 그 접촉면을 따라 AI가 맞춤형 사기 메일을 대량 생성해 자동화된 피싱 등 범죄를 저지를 수 있다. AI딥페이크로 음성, 영상을 조작하여 사람과 기관의 신원을 사칭할 수 있다. AI가 시스템을 스캔해 보안취약점을 찾은 뒤 악성코드를 제조하고 투입해 공격할 수 있다. 공격코드를 자동적으로 변형하는 방법으로 탐지기술을 따돌리고 보안을 무력화할 수 있다. 공격 AI가 방어에 활용되는 AI를 기만해 데이터를 탈취하거나 명령에 순응하게 동조를 이끌어내는 침해방법도 가능하다. 진화하는 사이버위협은 AI에이전트 등 다양한 형태로 변화를 거듭하며 집요하게 방어시스템을 파고든다. 기존의 낡은 사이버보안 체계를 유지하면 의사결정이 느려 실시간 대응이 어렵다. 방어를 위해 만든 절차와 제도의 연결부위가 끊기는 순간 보안시스템이 무너진다.
AI시대 보안시스템은 어떠해야 할까. 보안특화 AI에이전트를 개발해, 혈관속의 백혈구처럼, 실시간 방어시스템을 돌아다니며 취약점을 찾아 보완하고, AI의 사이버공격을 만나면 즉시 반격해 제거해야 한다. AI시대 사이버보안은 현장을 중심으로 실시간 의사결정과 즉시 실행 가능한 '생물로서의 리좀형 모델'이 돼야 한다.
이상직 법무법인 태평양 변호사('창의는 어떻게 혁신이 되는가' 저자)