AI 시대의 사이버 보안: 디지털 신뢰 보호에 적응

저자는 베트남 최초의 국제 표준 커뮤니티 보안 행사인 BSides Hanoi 2025에서 AI 시대의 사이버 보안 문제를 발표했습니다. (사진: NVCC)

보이지 않는 코드 라인이 이제 전체 은행 시스템을 붕괴시킬 수 있고, 합성 영상은 단 몇 시간 만에 신뢰 위기를 초래할 수 있으며, 자가 학습 언어 모델은 어떤 국가도 대응할 수 없는 방식으로 정보를 조작할 수 있습니다 . AI 혁명은 세계 사이버 보안 질서를 재편하고 있으며, 베트남을 포함한 국가들은 법이 실제 사람을 보호하는 것뿐만 아니라 "가상 객체"를 식별해야 하는 새로운 단계로 접어들고 있습니다.

법률이 데이터 속도에 맞춰야 할 때

사이버 공격은 한때 조직적인 해커 집단의 영역이었지만, 오늘날에는 인간과 기계의 경계가 모호해지고 있습니다. 공격은 간단한 명령줄로 시작될 수 있지만, 그 결과는 파괴적일 수 있습니다. 시스템이 해킹되고, 개인 정보가 유출되고, 시장의 신뢰가 무너지는 것입니다.

이러한 맥락에서 AI 거버넌스와 사이버 보안은 더 이상 별개의 분야가 아니라 동일한 법적 공간에서 융합되고 있습니다. 모든 프로그래밍 코드, 모든 머신러닝 모델, 모든 추천 알고리즘은 실질적인 법적 책임을 초래할 수 있습니다.

세계적으로 유럽연합, 미국, 중국, 그리고 최근 아세안(ASEAN)은 인공지능(AI) 관련 법적 체계 구축에 박차를 가하고 있습니다. 베트남은 "사이버 공간에서 국가 주권 보장, 네트워크 보안, 데이터 보안, 그리고 조직과 개인의 정보 보안 확보는 디지털 전환 과정 전반에 걸쳐 필수"라는 목표를 가지고 혁신을 위한 개방과 법적 기반 강화라는 독자적인 길을 선택했습니다.

2018년 사이버보안법, 시행령 53/2022/ND-CP, 2025년 개인정보보호법, 2030년까지의 인공지능 발전 국가 전략, 그리고 인공지능법 초안은 혁신을 위한 유연한 법적 틀을 구축하면서도 위험 관리에 충분히 엄격한 법적 틀을 마련하고 있습니다. 이는 단순히 기술을 관리하는 데 그치지 않고 법의 틀 안에서 기술이 어떻게 운영될지 구체화하는 장기적인 비전을 보여주는 단계입니다.

기업 - 새로운 법적 책임의 최전선

공격은 단순한 명령줄로 시작될 수 있지만, 그 결과는 심각한 법적 소송으로 이어질 수 있습니다. (출처: 인터넷)

디지털 경제 에서 기업은 기술의 수혜자일 뿐만 아니라 데이터 사고나 AI 관련 위반이 발생할 경우 가장 먼저 책임을 져야 하는 입장에 놓이게 됩니다.

고객 데이터 유출, 내부 데이터 침해, AI 도구를 이용한 오해의 소지가 있는 콘텐츠 제작 등 최근 발생한 사건들은 기술 거버넌스가 법규 준수와 분리될 수 없음을 분명히 보여줍니다. AI가 고객 관리, 마케팅, 시장 분석부터 채용까지 모든 분야에 적용됨에 따라 혁신과 법규 위반의 경계는 그 어느 때보다 모호해지고 있습니다.

따라서 기업은 재무 감사 ​​메커니즘과 유사한 내부 AI 위험 관리 메커니즘을 구축해야 합니다. 위험 발생 후 해결될 때까지 기다리는 대신, 설계 단계부터 통제를 구현해야 합니다. 각 AI 도구는 실제 데이터에 적용되기 전에 법규 준수 여부를 평가하고 승인을 받아야 합니다.

파트너 또는 서비스 제공업체와의 계약에는 이미지, 음성 및 기계 생성 콘텐츠 사용에 대한 명확한 조건이 포함되어야 합니다. AI 작업은 입력 요청부터 출력 응답까지 완전히 기록되어야 하며, 필요 시 추적이 용이해야 합니다. 더 중요한 것은 각 기업이 딥페이크 검증, 증거 보존, 당국에 대한 신속한 보고 등 사고 발생 시 대응 시나리오를 개발해야 한다는 것입니다.

이는 단순한 기술적 문제가 아니라 새로운 법적 규범으로 간주되어야 합니다. AI 모델이 스스로 학습하여 예상치 못한 결과를 도출할 수 있게 되면, "통제"는 지속적인 프로세스가 되며, 이는 제품 수명 주기 전반에 걸쳐 기업의 책임을 반영합니다.

기술 관리에서 기관 관리로

하노이 협약 서명식에는 안토니오 구테흐스 유엔 사무총장을 비롯한 110여 개국과 여러 국제기구의 정상 및 고위급 대표단이 참석했습니다. (사진: 재키 찬)

베트남의 가장 큰 과제는 기술 부족이 아니라, 기술적 원칙을 제도적 규칙으로 어떻게 전환할 것인가에 있습니다. "AI는 무엇을 할 수 있는가?"라는 질문은 "AI는 무엇을 할 수 있는가? 그리고 그 경계를 넘을 때 누가 책임을 져야 하는가?"로 대체되어야 합니다.

이를 위해서는 거버넌스 프레임워크를 통합적으로 설계해야 합니다. 즉, 데이터, 인공지능, 사이버 보안을 통합적으로 관리해야 합니다. 기업은 AI 교육을 위한 데이터 수집, 처리 및 활용에 대한 명확한 법적 의무를 가져야 합니다. 또한 국가 기관은 "기술 감독관"의 역량을 갖춰야 합니다. 즉, 단순히 행정 기록을 검토하는 것이 아니라 알고리즘을 읽고 이해하고 시스템을 평가할 수 있어야 합니다.

이러한 노력에 있어서 중요한 이정표는 2025년 10월 25~26일 하노이에서 개최될 예정인 유엔 사이버범죄방지협약(하노이협약) 개막식 및 고위급 회의입니다.

수도 하노이의 이름이 사이버 보안에 관한 글로벌 다자간 조약과 연관되는 것은 이번이 처음입니다. 이는 역사적인 사건으로, 안전한 디지털 공간을 보호하기 위한 법적 틀을 마련하기 위해 국제 사회가 힘을 합치겠다는 결의를 보여주는 사례입니다.

하노이 협약은 법적 가치를 가질 뿐만 아니라 디지털 신뢰의 정치적 상징이기도 하며, 글로벌 기술 가치 사슬에서 베트남의 "신뢰 연결 센터" 역할을 확인시켜 줍니다.

디지털 경제에서 신뢰가 자산이 되는 경우

세계은행은 인공지능 시대에 국가가 "도약"하기 위한 전제 조건은 기술이 아니라 데이터 관리 역량이라고 강조했습니다. 데이터는 표준화되고 투명하며 책임감 있게 관리될 때, 즉 국가가 "오픈 데이터"에서 "AI에 적합한 데이터"로 전환할 때만 진정한 가치를 지닙니다.

잘 관리된 데이터 시스템은 정부가 증거 기반 정책을 수립하고 기업과 투자자의 신뢰를 구축하는 데 도움이 됩니다. 다시 말해, AI는 데이터가 깨끗하고 신뢰할 수 있을 때에만 스마트해집니다.

루엉땀꽝 공안부 장관이 하노이 협약에 서명했다. (사진: 탄롱)

베트남에게 이는 사이버 보안과 인공지능에 대한 강력한 법률 시스템이 국가 안보에 기여할 뿐만 아니라 새로운 성장 동력을 창출한다는 것을 의미합니다. 다국적 기업들은 베트남의 인건비나 시장 규모뿐만 아니라 기술 및 데이터 거버넌스의 명확성 또한 높이 평가합니다.

개인정보 보호 규정, 데이터 현지화 정책부터 중요 정보 시스템을 운영하기 전에 사이버보안 영향 평가를 실시해야 한다는 요구 사항까지, 이 모든 것이 베트남의 "디지털 투자 안전 구역"을 형성하는 데 기여하고 있습니다.

하지만 이를 활용하려면 "위험 관리" 사고방식에서 "가치 관리" 사고방식으로 전환해야 합니다. 이는 단순히 위반 사항을 방지하기 위한 통제뿐만 아니라, 규정 준수를 경쟁 우위로 전환하는 것을 의미합니다. 기업이 데이터 및 보안 규정을 잘 준수할 경우, 입찰, 국제 협력 또는 정책 지원 프로그램 참여 시 우선권을 부여받을 수 있습니다.

규제 기관은 "데이터 보안" 지수를 신용 기준으로 공시할 수 있습니다. 알고리즘 감사 기준을 충족하는 스타트업이나 AI 연구 센터는 "책임 있는 AI" 인증을 받을 수 있습니다. 이는 베트남이 규모나 개발 속도만이 아닌 디지털 신뢰를 통해 입지를 공고히 하는 데 도움이 되는 방향입니다.

국가의 역할: 관리에서 창조까지

법은 항상 기술에 뒤처지지만, 너무 뒤처지면 지도적 역할을 상실합니다. 베트남은 희귀한 기회에 직면해 있습니다. 바로 기술 강국의 틀을 그대로 베끼는 대신, 스스로 규칙을 만들어낼 수 있는 기회입니다.

이를 위해서는 국가가 접근 방식을 바꿔야 합니다. 관리에서 창조로, 통제된 혁신을 위한 유연한 정책 프레임워크를 구축해야 합니다. 검사에서 지원으로, 기업이 규정을 준수하고 지속 가능하게 발전하도록 지원해야 합니다. 또한, 개별 운영에서 부문 간 협력으로, 인공지능과 사이버 보안이 법, 국방, 과학, 교육, 심지어 외교에 영향을 미칠 때 더욱 그렇습니다.

하노이 협약의 서명 및 이행을 주재하는 것은 베트남이 위험에 대응하는 데 그치지 않고 윤리, 안보, 경제적 요소를 동일한 정책 축으로 통합하여 새로운 법적 기준을 적극적으로 형성하고 있음을 분명히 보여주는 사례입니다.

신뢰의 경제를 향하여

법적인 관점에서 사이버 보안과 AI 거버넌스는 단순한 기술 분야가 아니라 국가 경쟁력의 근간입니다. 국가는 데이터를 보호하고, 알고리즘의 투명성을 보장하며, 온라인 정보에 대한 국민의 신뢰를 유지할 수 있을 때에만 디지털 시대에 진정으로 강해질 수 있습니다.

하노이 협약에 서명한 국가 대표들. (사진: 재키찬)

20세기가 산업 경쟁이었다면, 21세기는 신뢰 경쟁입니다. 2025년부터 2030년까지 베트남의 법적 체계가 대폭적으로 조정됨에 따라 디지털 경제 발전은 디지털 법 질서 구축과 분리될 수 없음이 입증되고 있습니다. 베트남은 정책, 법률, 그리고 적극적인 지역 리더십을 통해 이에 대응하고 있습니다.

기술은 항상 우선이지만, 전략적 비전을 바탕으로 구축된 법률은 함께 발전할 수 있습니다. 베트남은 국가 법적 체계부터 하노이 협약에 이르기까지 분명한 메시지를 전달하고 있습니다. 사이버 보안과 AI 거버넌스는 혁신의 장애물이 아니라 지속 가능한 발전을 위한 전제 조건이라는 것입니다.

데이터 시대에 신뢰는 새로운 경제 인프라이며, 법이 '가상의 공격자'를 식별하는 방법을 알게 되면 모든 실제 가치를 보호하는 방패가 될 것입니다.