박세준 위원장, 기술 빈부격차 해소할 공익 보안 펀드 운용 방향성 제시
탐지 위주의 기존 자동화 넘어선 화이트해커 보상 기반의 실무 패치 생태계
특정 모델의 종속 벗어난 하이브리드 거버넌스로 글로벌 보안 표준 정립 목표

[보안뉴스 조재호 기자] 프로젝트 플라즈마가 주도하는 공익 AI 보안 이니셔티브 ‘프로젝트 캐노피’(Project Canopy)가 지난 17일 닻을 올렸다. 출범식 직후 진행된 그룹 인터뷰에서 박세준 프로젝트 플라즈마 이사 겸 프로젝트 캐노피 위원장은 AI 시대에 불거진 자본과 기술의 불평등을 지적하며, 단순 기술 시연을 넘어선 실무적 방어막 구축 로드맵을 제시했다.


기술 빈부격차 파고드는 AI 해커, 민생 인프라 방어막 필요해
최근 사이버 범죄자들은 막대한 보안 예산을 투입하는 대기업 대신 여력이 부족한 학교나 병원, 지자체 인프라를 겨냥하고 있다. 고성능 AI의 등장으로 공격 비용과 시간은 줄어들지만, 정작 일상생활과 직결된 민생 인프라에서는 이를 막아낼 자본과 인력이 부족한 실정이다.

프로젝트 캐노피는 이러한 불균형을 타파하기 위해 △두나무 △LG유플러스 △포스코DX △티오리한국 △한화손해보험 등 27개 파트너사가 결집해 약 30억원 규모의 펀드를 조성했다. 투명한 관리를 위해 5개 핵심 기업이 참여하는 스튜어드(Stewards) 그룹을 통해 우선 보호해야 할 대상을 결정하는 신속한 거버넌스를 완비했다.

박세준 위원장은 이니셔티브의 명칭을 빗대어 “우거진 숲의 지붕인 캐노피가 거센 비바람과 자외선을 막아 생태계를 안전하게 보존하듯, 캐노피 프로젝트 역시 기술과 자본이 공익적 관점에서 결합해 우리 사회의 치명적인 보안 격차를 메우는 방파제가 될 것”이라고 말했다.

취약점 제보에 그친 자동화 개선해 보안 업데이트 실효성 제고
캐노피가 주목하는 대목은 취약점 탐지 이후의 과정이다. 기존의 보안 오케스트레이션 및 대응(SOAR) 솔루션은 문제점을 찾아 기계적으로 통보하는 데 그친다. 쏟아지는 경고 알림 속에서 진짜 위협을 선별할 여력이 없는 공공 인프라 운영자들에게는 실효성이 떨어진다. 진단 기능은 고도화됐지만, 행정력과 전문 인력의 부재로 인해 실제 방패를 들지 못하는 병목 현상이 발생하는 것이다.

박 위원장은 “인공지능의 발전으로 취약점을 찾는 비용 자체는 저렴해졌지만, 그 혜택을 온전히 누려야 할 민생 인프라는 이를 감당할 준비가 되어 있지 않다”며 “발견된 취약점을 분류 및 검증(Triage)하고 실제 패치가 나올 때까지 추적하며, 코드를 어떻게 적용해야 하는지 가이드라인을 제공하는 것이 캐노피의 핵심 과제”라고 강조했다.

이를 위해 펀드 자원을 활용, 화이트해커와 오픈소스 메인테이너들이 패치 코드를 직접 작성하고 검증하도록 유도하는 강력한 인센티브 생태계를 가동한다. 그는 “단순히 좋은 일을 하라고 독려하는 것을 넘어 확실한 보상 체계가 동반되어야만 이 생태계가 지속될 수 있다”며 “안전한 코드 수정을 지원함으로써 기존 90일씩 걸리던 패치 리드타임을 단 7일 이내로 줄이는 성공 사례를 만들어낼 것”이라고 말했다.

실제로 캐노피는 출범 전 공공 정보화의 뼈대인 ‘전자정부 표준 프레임워크’를 타깃으로 선제 점검을 수행해 수백건의 잠재적 취약점을 발굴하는 성과를 냈다. 박 위원장은 “취약점 제보가 언론의 헤드라인을 장식하며 비판의 대상이 되던 폐쇄적인 문화를 벗어나야 한다”며 “이를 선제적으로 조치해 다가올 공격을 막아냈다는 방어의 관점으로 시각을 전환해야 한다”고 당부했다.


해외 AI 종속 위험 최소화... 글로벌 표준 모델로 육성
캐노피는 특정 해외 인공지능 모델이나 단일 글로벌 기업의 솔루션에 얽매이지 않는 다중 플랫폼 기반의 하이브리드 거버넌스를 지향한다.

최근 글로벌 선도 모델인 ‘클로드 미토스’의 활용이 지정학적 이유로 제한되는 상황을 거론하며, 박 위원장은 “하나의 특정 기술이나 모델에만 국가 안보를 의존하면 그 서비스가 단절됐을 때 방어망 전체가 깜깜이가 되는 심각한 리스크가 발생한다”며 “여러 보안 파트너들의 역량을 하이브리드로 결합하는 협력체를 구축하면, 특정 요소에 문제가 생겨도 국가 보안 시스템은 멈추지 않고 굴러갈 수 있다”고 말하며, 민간 연합체의 자생적 필수성을 강조했다.

특히 이번 연합체 구상은 단순히 민간 차원의 기술 협력을 넘어 국가 안보 관점에서의 사이버 주권 확립과 궤를 같이한다. 해외 기술에 대한 수출 통제와 같은 지정학적 변수로 인해 언제든 사이버보안 수단에 대한 접근이 차단될 수 있는 위기감이 현실화됐기 때문이다.

박 위원장은 이 같은 맹점을 지적하며 “특정 모델이나 단일 기업의 우위에 끌려다니지 않으려면 국내외 여러 보안 기업의 핵심 역량을 유기적으로 엮어내는 독자적 방어 생태계 확보가 시급하다”고 진단했다. 단일 모델의 공백을 다수의 검증된 파트너 솔루션으로 즉각 대체하여 국가 방어망의 회복 탄력성을 극대화하겠다는 전략이다.

여기에 국책 과제에 전적으로 기대지 않는 자생적 펀드 운용 방식 역시 종속 리스크를 끊어내기 위한 전략적 판단이 깔려 있다. 정부 예산 투입 시 필연적으로 수반되는 행정적 제약과 의사결정의 지연을 피하고, 보안 시급성에 맞춰 신속하게 대응하기 위함이다. 그는 “국세를 활용하면 규모는 커지지만 그만큼 행동에 제약이 뒤따르게 된다”며 “먼저 민간 주도로 빠르고 실효성 있는 방어 모델을 증명해 낸 이후에 규제 당국 및 정부 부처와의 다자 협력을 덧붙여 산업 시너지를 창출할 것”이라고 덧붙였다.

현재 프로젝트 캐노피는 1년 주기의 큰 로드맵 안에서 3개월 단위로 타깃 선정부터 패치 검증까지의 마이크로 사이클을 돌리며 시스템을 고도화하고 있다. 박 위원장은 “초기에 확보된 재원은 한국 시장 내 생태계 조성을 위한 마중물”이라며 “한국에서 베스트 프랙티스(BP)를 도출한 뒤 일본, 싱가포르, 대만 등 전 세계로 캐노피의 하이브리드 공익 표준 모델을 확산해 나갈 것”이라고 포부를 다졌다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>