📢 이번 주, 보안과 AI 업계를 뒤흔든 주요 뉴스!

중국 AI 딥시크를 둘러싼 경계심이 커지고 있습니다. 카카오는 사용 자제를 공식적으로 권고했고, 개인정보 수집 실태를 점검하는 등 규제 움직임도 본격화됐습니다. 한편, 오픈AI는 자체 AI 칩 개발에 박차를 가하며 TSMC와 협력을 모색 중인데요. 기업들의 AI 경쟁이 심화되는 가운데, 국내 정보시스템의 클라우드 전환이 가속화되고, 잇따른 보안사고 속에서 K-사이버 보험은 제 역할을 하고 있는지 의문이 제기되고 있습니다.

🔥 이번 뉴스레터에서 주요 흐름을 확인하세요!

카카오와 엘지(LG)유플러스가 중국에서 개발한 생성형 인공지능(AI) ‘딥시크’의 사내 이용을 제한했다. 딥시크를 통한 정보 유출 우려가 제기되면서 기업들이 ‘금지령’을 잇따라 내리고 있다.

카카오는 “사내 업무 목적의 딥시크 서비스 사용을 지양한다”는 내용의 공지를 전날 회사 구성원들에게 공지했다고 5일 밝혔다. 카카오 관계자는 “카카오 인공지능 사내 활용 정책에 따라, 정보 보안과 윤리 등 인공지능(AI) 안전성에 대해 완전한 검증이 되지 않아 우려되는 지점이 있다는 판단 하에 공지를 진행했다”고 말했다. 엘지유플러스도 5일 오전 사내망에서 딥시크를 업무용으로 활용할 것을 금지하고, 개인 컴퓨터를 쓰는 경우라도 사용을 자제해 달라고 권고하는 내용의 공지를 냈다.

딥시크는 서비스를 이용하는 사용자의 데이터를 전방위적으로 수집해 중국 내 서버에 저장하는 것으로 알려져 정보 유출 및 보안 우려가 제기된 상황이다. 챗지피티(GPT) 등 다른 인공지능 서비스도 마찬가지로 사용자의 계정 정보나 챗봇에 입력한 데이터 등을 수집하지만, 딥시크의 경우 키보드의 입력 패턴이나 리듬까지 광범위하게 수집하고 있는 것으로 알려졌다.

한 정보통신업계 관계자는 “그 전에도 많은 기업들이 생성형 인공지능을 업무 목적으로 이용하지 못하도록 한 경우가 많았지만, 이번처럼 (딥시크를 거론해) 별도의 공지가 나온 것은 처음”이라며 “아무래도 보안이나 안전성에서 아직 미지수인 면이 큰 것 같다”고 말했다.

네이버는 카카오처럼 별도 공지를 내지는 않았다고 밝혔다. 그러나 생성형 인공지능을 업무 목적으로 사용해선 안 된다는 기존의 규정이 있는 터라, 딥시크도 예외가 될 수 없다는 입장이다. 네이버 관계자는 한겨레와 통화에서 “2023년 초 전 사원들에게 ‘대화형 AI 서비스 이용에 대한 주의사항’을 공지했었는데, 거기 보면 외부 서버에 데이터가 저장되는 형태의 서비스는 업무 목적으로의 사용을 금지하고 있다”고 설명했다.

전 세계 각국 정부나 공공기관에서도 정보 유출 위험을 이유로 업무 목적의 기기에서 딥시크 사용을 금지하는 경우가 늘고 있다. 호주, 일본, 대만, 미국 텍사스주 등은 정부 소유 기기에서의 딥시크 사용을 금지했다. 이탈리아는 아예 앱을 다운로드받을 수 없도록 전면 차단했다. 한국 개인정보보호위원회는 지난달 31일 중국에 있는 딥시크 본사에 개인정보 수집 항목과 절차는 물론 처리·보관 방법을 확인하는 공식 질의서를 발송한 상태다.

중국 인공지능(AI) 스타트업 딥시크가 자사와 관련된 허위 정보와 위조 계정이 오해와 혼란을 일으키고 있다며 주의를 당부했다.

7일 중국 매체 제일재경과 펑파이 등에 따르면 딥시크는 전날 저녁 위챗 계정에 올린 '딥시크의 공식 정보 발표 및 서비스 채널에 대한 설명'이라는 제목의 성명에서 이 같은 입장을 밝혔다.

딥시크가 자사와 관련된 여러 소문을 부인하는 내용의 공식 입장을 내놓은 것은 이번이 처음이라고 중국 언론들은 전했다.

딥시크는 성명에서 “최근 딥시크와 관련된 일부 위조 계정과 근거 없는 정보가 대중을 오도하고 혼란을 초래하고 있다”고 말했다. 딥시크는 위챗, 샤오훙수, 엑스(X·옛 트위터)에서만 공식 계정을 보유하고 있다고 부연했다.

딥시크는 “이들 계정 외에 딥시크나 관련 책임자 명의로 외부에 회사 관련 정보를 게시하는 다른 계정은 모두 위조 계정”이라며 “딥시크와 관련된 모든 정보는 공식 계정에 게시된 것을 기준으로 하며, 어떠한 비공식·개인 계정에 올라온 정보도 딥시크의 견해를 대표하지 않으니 주의 깊게 식별해 달라”고 강조했다.

이 회사는 또한 “딥시크 AI모델 서비스를 받으려면 홈페이지 등 공식 채널을 통해 애플리케이션(앱)을 다운받아야 한다”며 “위챗의 공식 사용자 그룹 외에 딥시크 공식 그룹과 관련된 모든 요금 부과행위는 허위이니 재산 손실을 피하도록 신중하게 판별해 달라”고 덧붙였다.

딥시크의 이같은 입장 표명은 세계 주요국들이 정보 유출 우려로 정부 기관을 중심으로 딥시크 접속을 제한하는 움직임 속에 나왔다.

우리나라 국방부·외교부·통일부·산업통상자원부·한국수력원자력 등 정부 부처와 기관들은 5일께부터 외부 접속이 가능한 컴퓨터에서 딥시크 접속을 제한한 상태다.

데미스 하사비스 구글 딥마인드 공동 창업자 겸 최고경영자(CEO)가 중국 인공지능(AI) 기업 딥시크 모델이 우수하지만 기술적 혁신은 부족하다고 평가했다. 

10일 테크크런치 등 외신에 따르면 하사비스 CEO는 프랑스 파리에서 열린 AI 액션 서밋에 앞서 '딥시크-R1'에 대해 이같이 언급했다. 

그는 "딥시크는 분명히 우수한 결과물이지만 과학적으로 혁신을 보여준 것은 아니다"고 지적했다. 이어 "기존 AI 기술을 융합한 모델에 불과하다"고 덧붙였다.

하사비스 CEO는 딥시크 모델에 대해 “지정학적 측면에서 중요한 영향을 미칠 수 있다”고 평가하면서도, “기존에 알려진 AI 기술을 활용한 모델에 불과하다”고 덧붙였다.

딥시크는 지난해 12월 딥시크-V3(DeepSeek-V3) 출시 후 올해 초 딥시크-R1(DeepSeek-R1), 딥시크-R1-제로(DeepSeek-R1-Zero), 딥시크-R1-디스틸(DeepSeek-R1-Distill) 모델을 공개했다. 비전 기반 야누스-프로 7B(Janus-Pro 7B) 모델도 추가 공개했다. 

딥시크는 해당 모델들이 기존 대비 90~95% 비용 절감과 비용 효율성을 제공하며, 강화 학습 기법을 적용해 우수한 추론 능력을 갖췄다고 주장하고 있다. 특히 저사양 칩으로도 오픈AI의 GPT-o1 수준 성과를 냈다고 밝히기도 했다. 이후 업계에서 AI 인프라 구축 비용 적절성에 대한 논의가 이어졌다. 엔비디아 등 주요 AI 기업 주가 하락이 이어지기도 했다.

이에 하사비스 CEO는 딥시크의 저비용 모델 주장에 대해 "실제 개발 비용이 공개된 수치보다 높을 수 있다"고 지적했다.

챗GPT 개발사 오픈AI가 수개월 내에 자체 인공지능(AI) 칩 설계를 완료하고 세계 최대 파운드리(반도체 위탁생산) 업체 대만 TSMC에 생산을 의뢰할 예정이라고 로이터 통신이 10일(현지시간) 보도했다.

오픈AI는 AI 칩 선두 주자 엔비디아에 대한 의존도를 줄이기 위해 미국 반도체 기업 브로드컴과 처음 자체 맞춤형 AI 칩(ASIC)을 개발하고 있으며, 내년 대량 생산을 목표로 하고 있다.

로이터는 “칩 공장에 칩 설계를 보내는 과정을 '테이핑 아웃(taping out)'이라고 한다”며 “대개 테이팅 아웃에는 수천만 달러의 비용이 들어가며 급행료를 지불하지 않는다면 이후 칩 생산까지는 약 6개월이 걸린다”고 전했다.

오픈AI가 2026년 자체 설계 첫 반도체 생산을 목표로 하는 가운데, 목표를 달성하기 위한 과정이 순조롭게 진행되고 있다는 것이다.

설계된 칩이 첫 번째 테이핑 아웃에서 생산으로 곧장 이어지지 않을 수도 있고, 이럴 경우 문제를 진단하고 테이핑 아웃 단계를 반복해야 하기 때문에 시간은 더 길어질 수 있다.

초기 테이핑 아웃이 성공하면 오픈AI는 올해 말 첫 번째 자체 AI 칩을 생산해 테스트할 수 있게 될 것으로 예상된다.

오픈AI의 칩 설계팀은 40여명으로 수개월간 두 배로 증가했다. 오픈AI는 이를 위해 1년여 전 구글에서 맞춤형 AI 칩 프로그램을 이끌었던 리처드 호를 영입한 바 있다.

소식통에 따르면 칩 한 개 버전당 약 5억달러 규모의 비용이 들어간다. 이 비용은 주변에 필요한 소프트웨어와 주변 장치를 구축할 경우 두 배로 늘어날 수 있다.

오픈AI가 설계하는 칩은 초기에는 인프라 내에서 AI 모델을 훈련하는 것보다 실행하는 데 제한된 역할을 하게 될 것으로 알려졌다. 구글이나 아마존의 AI 칩 프로그램만큼 포괄적 AI 칩을 만들기 위해서는 수백 명의 엔지니어가 필요하다.

또 오픈AI 내부에서는 자체 개발 칩이 다른 칩 공급업체와 협상에서 오픈AI의 지렛대를 강화하기 위한 전략적 도구로 여겨지고 있다고 로이터는 전했다.

국가 정보시스템의 클라우드 전환이 가속화하고 있다. 공공기관 등에 대한 정부의 클라우드 지원금이 끊겼음에도 불구하고, 안정성과 경제성 등의 강점으로 인해 클라우드 전환 사업이 증가세다.

정부가 2030년까지 클라우드 네이티브 전환율 90%를 달성하겠다는 목표 달성에 박차를 가하려는 것으로 풀이된다.

9일 조달청 나라장터에 따르면, 지난 1월부터 이날까지 신규 클라우드 전환 사업을 발주할 계획인 정부 부처·공공기관·지자체는 8곳이다.

구체적으로 △교육부(국립국제교육원 홈페이지) △해양수산부(전국파랑관측자료 제공시스템) △산림청(산림복지통합플랫폼 시스템) △통계청(행정지원시스템) △한국출판문화산업진흥원(출판유통통합전산망) △화성도시공사(민원관리시스템) △울산항만공사(정보시스템) △전남도립미술관(전남) 등이다. 지난 3일 '포털시스템 재구축 및 클라우드 전환 사업'을 발주한 국립과천과학관까지 포함하면 9곳으로 늘어난다.

국가 정보시스템 클라우드 전환 신규 사업은 지속 증가세다. 조달청에 공고된 신규 국가 정보시스템 클라우드 전환 사업 수는 2023년 16개에서 2024년 39개로 2배 이상 늘어났다. 정부의 정책 변경으로 2023년부터 각 기관에 클라우드 전환 지원금을 제공하지 않기 시작했음에도 사업 수가 증가했다.

그 이유는 정보시스템의 클라우드 전환을 통해 안정성과 경제성을 확보할 수 있기 때문이다. 클라우드 서비스는 하드웨어(HW)나 소프트웨어(SW)에 장애에 발생할 경우, 백업·복구로 장애에 곧바로 대응해 업무 연속성을 보장한다.

실제 국립과천과학관 관계자는 사업 발주 배경에 대해 “포털시스템을 2015년 개편한 이후 회원가입·예약·결제·환불 관련 오류가 지속 발생해 클라우드 환경으로 포탈시스템 전면 재구축이 필요하다”고 설명했다.

정부도 현행 정보시스템의 클라우드 전환을 추진하고 있다. 행정안전부는 지난해 10월 500억원 투입해 10개 기관 13개 공공 정보시스템 클라우드 네이티브 전환 사업 추진하겠다고 밝혔다. 행안부는 지난해 주요 공공기관에 비공개로 전달한 '클라우드 전환 기본원칙 및 기준'에서 현행 정보시스템의 클라우드 네이티브 전환율을 2030년 90%로 명시한 바 있다.

다만, 정부가 세운 목표를 달성하기 위해선 예산을 점진적으로 늘려 클라우드 전환에 속도를 내야 한다는 지적이 나온다.

함재춘 클라우드산업협회 사무국장은 “국가 정보시스템 클라우드 전환은 안정성뿐만 아니라 인공지능(AI) 서비스 활용을 위한 기반을 다지는 일”이라며 “국가기관이 AI 활용에 뒤처지지 않기 위해서라도 예산을 점진적으로 늘려 클라우드 전환에 속도를 내야 한다”고 강조했다.

국내 대기업에서까지 사이버 위협으로 인한 개인정보 유출 사고가 잇따라 발생하고 있다. 해외 주요국에선 정부 차원 사이버 보험 강화가 추진되는 가운데, 우리나라는 무방비 상태라는 우려가 나온다.

9일 한국인터넷진흥원(KISA) 보고서에 따르면 작년 국내 사이버 침해사고는 1887건으로 전년 동기(1277건) 대비 50%가량 급증했다. 특히 서버 해킹이 1057건으로 2배가량 크게 늘었다.

사이버 위협은 고객 개인정보 유출로 인한 피해는 물론 배상책임, 이익감소, 법률비용, 데이터 복구 비용 등 기업 생존이 달린 2차 피해로까지 이어질 수 있다. 사전 보안강화는 물론 사후 복원 중요성이 대두되는 상황이다.

이에 미국, 영국, 프랑스, 호주 등 해외 주요국에선 사이버 공격을 테러에 준하는 위험으로 인식하고 관련 보험 연구와 개발이 진행되고 있지만 우리나라는 미비한 상태다. 배상책임보험(의무보험) 위주로 시장이 운영되고 있어 기업이 겪는 다양한 피해에 대해 보장이 부족할뿐더러, 국제적인 수준에서 사이버 보험 경쟁력도 낮다는 평가다.

화재보험협회는 지난 2022년 기준 국내 보험사가 거둬들인 사이버종합보험 보험료가 185억원으로, 전세계 사이버보험료(13조6000억원)중 0.1%에 불과하다고 진단했다. 우리나라 보험 시장 규모가 세계 7위 수준으로 평가되는 것과 비교하면 괴리가 크고, 의무보험인 개인정보보호 및 전자금융거래 배상책임보험을 포함해도 세계 0.5%가 되지 않는 수준이다.

최근엔 한화손해보험이 국내 손해보험업계 최초로 사이버RM센터를 설립하고, 보안전문 기업 티오리와 법무법인 세종과 사이버보험 활성화를 위한 MOU를 체결하는 등 관련 시장을 개척하고 있다. 다만 시장 자체가 단순 배상책임보험 위주로 형성돼 있다 보니, 기업의 사이버 복원력을 위해 정책적 관심이 필요하다는 주장이 제기된다.

이미 미국, 호주, 프랑스 등에선 정부 테러보험 프로그램을 통해 일부 사이버 위협을 보장하고 있다. 미국은 정부가 직접 재보험사로 참여해 보험사에게 재보험을 제공한다. 재보험은 보험사가 가입하는 보험으로, 리스크를 분산하기 위한 목적으로 활용된다.

유럽은 GDPR 시행과 함께 유럽보험협회를 중심으로 사이버 사고 보고 양식을 마련한 상태다. 기업의 사이버 위험 인식 제고를 위해 홍보활동도 전개되고 있다. 미국과 일본에선 사이버보험에 가입한 기업에게 보험료 할인과 입찰시 가산점 등 인센티브를 부여하는 방식으로 참여를 독려하고 있다.

최광희 법무법인 세종 고문은 “사이버 공격으로 인한 국내 기업 피해가 다수지만 외부로 드러날 경우 평판 리스크와 신뢰 극복에 어려움이 있어 신고는 미미한 상태”라면서 “특히 중소기업은 복구 대응과 금액 조달이 어려워 정부 차원 지원을 확대하고 사이버보험 가입 의무화 등 보호책 마련이 절실하다”고 말했다.