미국 국방부는 2016년 '핵 더 펜타곤(Hack the Pentagon)'이라는 이름으로 정부 시스템을 외부 해커에게 공개했다. 세계 최고 수준의 보안 조직인 미국 국방부가 스스로 문을 연 것이다. 당시만 해도 많은 사람이 충격적으로 받아들였다. 하지만 지금은 다르다. 글로벌 기업과 정부기관은 이미 외부 화이트해커와 협력하는 구조를 보안 운영체계의 일부로 받아들이고 있다. 스페이스X, 아마존 웹 서비스(AWS), 이케아, 어도비, 제너럴모터스(GM) 같은 기업들은 버그바운티와 취약점 공개 프로그램(VDP)을 상시 운영하며, 외부 전문가들이 취약점을 먼저 발견하도록 장려한다. 최근 '미토스'를 발표한 엔트로픽 또한 글로벌기업 해커원(HackerOne)의 버그바운티 플랫폼 서비스를 사용하고 있다. 이처럼 해외에서는 '해커와 협력하는 보안'이 특별한 전략이 아니라 기본적인 보안 체계가 되고 있다.
반면 한국은 어떤가. 여전히 많은 기업이 외부 해커를 '협력자'가 아니라 '위협'으로 인식한다. 보안을 이유로 외부 접근을 차단하고, 취약점 신고조차 부담스러워한다. 버그바운티나 VDP 도입을 검토하다가도 법적 리스크, 평판 우려, 망분리 같은 이유 앞에서 멈춘다. 심지어 선의로 취약점을 발견해 알려준 화이트해커가 법적 문제에 휘말릴 가능성까지 존재한다. 글로벌 보안 환경은 빠르게 개방형으로 전환되고 있는데, 한국만 여전히 폐쇄형 보안 모델에 머물러 있는 셈이다.
문제는 인공지능(AI) 시대에 이러한 폐쇄성이 오히려 더 위험해지고 있다는 점이다. 과거에는 취약점이 발견돼도 공격까지 일정한 시간적 여유가 있었다. 기업은 그 사이 패치를 하고 대응할 수 있었다. 하지만 AI는 이 시간을 무너뜨리고 있다. AI는 취약점을 자동으로 분석하고, 공격 코드를 거의 실시간 수준으로 생성한다. 발견과 공격 사이의 간격이 급격히 줄어드는 이른바 '시간의 붕괴(Time Collapse)' 현상이 현실이 되고 있다. 이제 중요한 것은 얼마나 잘 막고 있느냐가 아니라, 얼마나 빨리 발견하고 대응하는가다.
더 심각한 문제는 많은 기업이 취약점을 몰라 당하기보다, 알고도 대응하지 못한다는 점이다. AI로 취약점 발견 속도는 폭발적으로 빨라졌지만, 이를 검증하고 수정하는 과정은 여전히 사람과 조직에 의존한다. 처리 못 한 취약점이 처리 대기 목록(Backlog)으로 쌓이고, 이는 재무제표의 부채처럼 조직에 축적된다. 공격자는 그중 단 하나만 찾아내면 충분하다. 이는 단순한 보안 기술 문제가 아니라 운영체계의 실패다.
여기서 주목할 개념이 '지속적 위협 노출 관리(CTEM)'다. 연 1~2회 정기검진이 아니라, 365일 실시간으로 건강 상태를 모니터링하는 체계다. 취약점의 존재 자체보다, 그것이 노출되어 있는 시간을 관리하는 접근이다. 얼마나 빨리 찾고, 검증하고, 수정하느냐가 핵심이다. 보안은 더 이상 기술의 문제가 아니라 속도의 문제다.
결국 AI 시대 보안의 핵심은 '닫는 것'이 아니라 '먼저 열어보는 것'이다. 공격자가 보기 전에 수많은 화이트해커에게 먼저 검증받는 구조를 만들어야 한다. 버그바운티와 VDP는 단순한 이벤트성 프로그램이 아니다. 전 세계 수많은 해커를 활용해 조직의 취약점을 지속적으로 검증하는 개방형 보안체계다. AI가 공격을 자동화하는 시대에, 기업 역시 외부의 집단지성을 활용해 대응 속도를 높여야 한다.
정부도 이미 방향을 바꾸고 있다. 대통령 직속 AI 전략위원회는 '예방 중심 보안체계' 전환을 주요 과제로 제시했고, 화이트해커 기업들과 논의를 진행했다. 이는 단순한 기술 검토가 아니다. 국가 차원의 보안 패러다임이 사후 대응에서 사전 예방으로 이동하고 있다는 의미다.
그럼에도 국내 기업들이 여전히 '외부 해커는 위험하다'는 인식에 머문다면, AI 시대의 속도를 버텨내기 어렵다. 보안은 더 이상 혼자서 지키는 시대가 아니다. 이미 글로벌 기업들은 수백만 명의 화이트해커를 아군으로 활용하고 있다. 한국 기업만 여전히 문을 닫고 버티고 있다면, 결국 가장 늦게 취약점에 대응하게 될 것이다. 닫아서 막는 시대는 끝났다. 이제는 열어서 지켜야 한다.
안기동 유넷시스템즈 대표 akd@unet.kr
