이데일리

김현아의 IT세상읽기 +더보기

• 

  끝나지 않은 펨토셀 리스크, ‘단단한 KT’의 시작은 어디부터인가

  김현아 기자 2026.04.05

  [이데일리 김현아 기자] KT(030200)가 다시 ‘기본’으로 돌아가고 있습니다. 박윤영 대표는 취임 직후 과천 네트워크·보안 관제센터와 혜화국사를 연이어 방문하며 명확한 메시지를 던졌습니다. 통신사의 본질은 결국 네트워크 안정성과 보안이라는 선언입니다. 현장 중심 경영, 조직 슬림화, 보안 인력 보강 등 일련의 조치도 신뢰 회복을 겨냥한 움직임입니다.하지만 KT가 직면한 과제는 단순한 이미지 개선을 넘어섭니다. 보안 리스크는 현재진행형이며, 특히 펨토셀(소형 기지국) 취약성 논란은 통신 인프라의 근본적 안정성을 묻고 있습니다.◇드러난 취약점과 KT의 반박보안업계에서는 최근 의미 있는 문제 제기가 있었습니다. 티오리 박세준 대표는 지난 4일 국내 통신사 펨토셀 장비에서 원격 코드 실행(RCE)과 로컬 권한 상승(LPE) 취약점을 발견했다며 이는 지금까지 공개된 취약점이 아니라고 밝혔습니다. 공격자가 장비를 장악해 이용자 통신을 감청하거나 데이터를 조작할 수 있으며, 감염된 장비를 활용한 분산서비스공격(DDoS) 가능성도 거론됐습니다.그러나 KT는 즉각 반박했습니다. KT 관계자는 “RCE 취약점은 외부 접근 자체를 차단했고, LPE 취약점은 루트 권한 탈취 시도 시 부팅 차단 등 방어 기능을 적용했다”고 설명했습니다. 또한 박세준 대표가 인지한 취약점은 작년 연말 기준으로, 현재는 이미 기술적 보완이 완료됐다고 언급했습니다. KT는 지난해 펨토셀 보안 이슈 이후 외부 전문가와 협력하며 보안 기능을 강화해왔다고 밝혔습니다. 박 대표가 국가정보원(국가사이버안보센터)에 제보한 만큼, KT가 진행한 조치가 완료돼 보안 걱정이 없는지 조만간 확인될 전망입니다.서창석 KT 당시 네트워크부문장(부사장)이 2025년 12월 17일 서울 종로구 케이티 광화문빌딩 웨스트에서 무단 소액결제 및 개인정보 유출 피해 관련 전수조사 결과를 발표하고 있다. 사진=연합뉴스◇AI 전환보다 먼저, 보안의 재설계이런 가운데, 박윤영 대표는 지난 3월 31일 취임과 동시에 ‘단단한 본질’을 강조하며 KT를 AI 전환(AX) 플랫폼 기업으로 탈바꿈시키겠다는 비전을 제시했습니다. 실제 조직 개편을 보면 미디어 조직 축소·보안 조직 확대가 눈에 띕니다. 정보보안 기능과 네트워크 산하 보안운용 기능이 분산돼 있던 구조를, 정보보안실을 중심으로 통합하고 최고정보보호책임자(CISO) 중심 거버넌스를 구축했습니다. 여기에 보안 강화를 위해 금융결제원 출신 이상운 전무(정보보안실장)를 영입하기도 했습니다.그럼에도 펨토셀과 같은 엣지 네트워크 장비는 광범위하게 분산돼 있고 관리 사각지대에 놓이기 쉽습니다. AI와 데이터센터 중심 인프라가 확대될수록 이러한 ‘말단 장비’의 취약성은 전체 시스템 리스크로 증폭됩니다. 가장 약한 고리가 전체를 무너뜨릴 수 있는 구조입니다.통신사가 AI 서비스를 직접 만들기도 하지만, 무엇보다 기반을 제공하는 역할에 충실해야 합니다. 그 기반은 안전성 위에 서야 하며, 전력과 광케이블이 AI 시대 인프라라면, 보안은 이를 지탱하는 필수 조건입니다. KT의 신뢰 회복은 얼마나 빠르게 새로운 사업을 확장하느냐가 아니라, 기존 네트워크를 AI시대 새로운 보안 위협으로부터 얼마나 견고하게 지켜내느냐에 달려 있다고 해도 과언이 아닙니다.박 대표의 현장 방문과 보안 중심 조직 개편은 의미가 크지만, 출발점일 뿐입니다. 이제 필요한 것은 잠재된 위협을 선제적으로 드러내고 해결하는 실행력입니다.끝나지 않은 펨토셀 리스크는 여전히 존재합니다. 박윤영 대표가 강조한 ‘단단한 KT’는 보안 강화와 잠재 위협 선제 대응에서부터 시작돼야 할 듯 합니다.

• 

  가상자산거래소 규제, 가장 센 칼부터 꺼내선 안 된다

  김현아 기자 2026.03.29

  [이데일리 김현아 기자] “이미 적법하게 운영돼 온 민간 기업과 개인에 대해, 사후적으로 지분을 제한하고 자유를 박탈하는 것은 상상하기 어렵다.”최근 한국헌법학회 이슈 세미나에서 나온 이영진 전 헌법재판관의 이 지적은 지금의 가상자산거래소 규제 논란의 본질을 찌른다. 이 문제는 업계 반발의 문제가 아니라, 국가가 공익을 이유로 어디까지 민간의 재산권과 경영 자유를 제한할 수 있는지 묻는 사안이다.금융시장 안정과 이용자 보호는 분명 중요하다. 하지만 그런 공익만으로 기존 거래소 대주주의 지분을 사후적으로 강제 제한하는 것은 다른 문제다. 헌법 질서에서 강한 규제는 마지막 수단이어야 한다. 덜 침해적인 대안이 있는데도 가장 센 규제부터 꺼내 들면 비례성과 최소침해 원칙에 부딪힐 수밖에 없다.◇정부의 우려는 이해되지만, 결론은 성급하다정부의 고민도 이해할만 하다. 원화 기반 스테이블코인이 달러 기반 코인과 맞물리면 자본 유출과 환율 불안으로 이어질 수 있다. 문제가 생겼을 때 누가 책임지고 누가 통제할지도 불분명하다. 은행은 감독 수단이 분명하지만, 가상자산 사업자는 해외 법인으로 빠지거나 책임 소재가 흐려질 수 있다는 우려도 있다.하지만 우려가 크다고 해법까지 자동으로 정당화되지는 않는다. 리스크가 크니 지분부터 자르자는 식이라면, 정교한 규제가 아니라 성급한 규제다.강제적 지분 제한은 가장 강한 규제다. 그렇다면 먼저 물어야 한다. 그 전에 할 수 있는 조치를 정말 다 해봤는가. 답은 아직 아니다.오는 8월부터 대주주 적격성 심사를 강화하는 특정금융정보법 개정안이 시행된다. 먼저 그 실효성부터 확인해야 한다. 대주주의 평판, 재무건전성, 이해상충 가능성, 자금 출처, 내부자 통제 능력을 촘촘히 보는 것이 우선이다. 지분율 숫자를 자르는 것보다 실제 위험 행위를 더 직접 겨냥하면서도 침해는 덜하다.해외도 비슷하다. 가장 엄격하다고 알려진, 미국 뉴욕주의 비트라이선스는 주요 주주에 대한 지문채취까지 요구하지만 지분 상한을 규제하진 않는다. 유럽연합의 MiCA도 10% 이상 적격지분 보유자에 대한 평판·재무건전성 평가를 두고 있다. 일본 역시 거래소 등록·감독은 엄격하지만 주요 주주 지분율 상한 규정은 없다. 해외가 안 하니 우리도 못 한다는 뜻은 아니다. 다만 지분 제한이 유일하거나 선행돼야 할 수단은 아니라는 점은 분명하다.◇숫자보다 중요한 것은 통제다더 중요한 것은 지분율 숫자가 아니라, 그 지분이 어떻게 행사되고 통제되느냐다. 대주주 리스크의 본질은 숫자보다 권한의 행사 방식에 있다. 그렇다면 규제의 초점도 숫자가 아니라 행위에 맞춰져야 한다.대주주 및 특수관계인 거래 공시, 이용자 예치금과 가상자산 보관 현황 공시, 상장 심의 절차의 독립성 확보, 대주주에 대한 신용공여 제한, 일정 규모 이상 지분 변동과 경영권 이전 시 승인, 주기적 적격성 유지 심사 같은 장치가 더 직접적이다. “얼마까지 가질 수 있느냐”보다 “가진 힘을 어떻게 쓰지 못하게 막을 것이냐”가 더 중요하다.사외이사 선임, 감사위원회 설치, 지배구조 내부규범 제정도 같은 맥락이다. 위험한 것은 대주주 그 자체가 아니라, 대주주를 견제할 장치가 없는 구조다.업계도 “혁신을 막는다”, “벤처를 죽인다”는 말만 반복해선 설득력이 약하다. 정부가 금융안정과 책임소재를 걱정한다면, 업계도 대주주 적격성 심사 강화, 내부통제 명문화, 특수관계인 거래 제한, 공시 확대, 이사회 독립성 강화, 이용자 자산 보호 장치 같은 대안을 내놔야 한다.소유 분산이 필요하다면 IPO나 전략적 투자 유치를 통해 성장 과정에서 자연스럽게 지분을 분산시키는 방법도 있다. 실제로 코인베이스도 상장 이후 창업자·초기 투자자 중심 구조에서 기관투자가 비중이 커지는 방향으로 분산된 것으로 알려졌다.◇지금 필요한 것은 강한 규제가 아니라 정확한 규제다가상자산 시장은 더 이상 방치할 수 없는 영역이다. 그러나 그렇다고 가장 센 규제부터 들이밀어도 되는 예외지대는 아니다. 강제적 대주주 지분 제한은 출발점이 아니라 마지막 카드여야 한다.지금 필요한 것은 “누가 얼마나 가질 수 있느냐”를 먼저 자르는 정치가 아니다. “어떻게 통제하고 어떻게 책임지게 할 것인가”를 설계하는 정책이다. 순서를 거꾸로 세우면 규제는 명분을 잃고, 시장은 신뢰를 잃는다.

• 

  금지해도 멈추지 않는 AI… 전장에 남은 '클로드'의 역설

  김현아 기자 2026.03.07

  [이데일리 김현아 기자] 인공지능(AI)을 둘러싼 경쟁이 이제 기술 시장을 넘어 전장으로 번지고 있다. 미국의 이란 침공 과정에서 AI가 실제 작전 분석에 활용된 정황이 알려지면서, AI는 더 이상 연구실이나 데이터센터 안에 머무는 기술이 아니라는 점이 분명해졌다. 미래 기술로만 여겨졌던 AI가 이미 현실의 무기체계와 작전 환경 안으로 들어온 것이다.이번 사안이 눈길을 끄는 이유는 분명한 역설 때문이다. 도널드 트럼프 미국 대통령이 앤스로픽의 대표 모델인 ‘클로드’ 사용 중단을 언급한 직후, 정작 그 AI가 군 작전에 계속 활용된 사실이 드러났기 때문이다. 정책은 금지를 선언했지만, 시스템은 이미 다른 속도로 움직이고 있었다. 기술이 정책보다 훨씬 빠르게 전장에 스며든 결과다.미국 국방부는 앤스로픽을 공급망 위험 기업으로 지정했고, 이에 따라 관련 기관과 계약업체는 사실상 클로드 사용을 중단해야 하는 상황에 놓였다. 겉으로는 공급망 문제처럼 보이지만, 실제로는 AI의 군사 활용 범위를 어디까지 허용할 것인지를 둘러싼 충돌이었다.앤스로픽은 대규모 시민 감시나 완전 자율무기 같은 영역에는 AI를 쓰지 않겠다는 안전 제한을 유지해 왔다. 반면 미국 국방부는 합법적 범위 안이라면 군이 필요로 하는 AI 활용을 폭넓게 허용해야 한다는 입장이었다. 국가 안보를 위해 필요한 기술에 민간 기업의 윤리 기준이 과도한 제약이 돼서는 안 된다는 논리다.양측은 접점을 찾지 못했고, 결국 사용 중단 조치가 내려졌다. 하지만 문제는 기술이 이미 현장 시스템 안으로 깊이 들어가 있었다는 점이다. 클로드는 팔란티어의 군사 플랫폼과 연동돼 미군의 데이터 분석 환경에 통합돼 있었고, 위성 이미지와 드론 영상, 감청 데이터 등을 분석하는 과정에 활용돼 왔다. 한 번 현장 시스템에 들어간 AI는 대통령 발언 하나로 바로 떼어낼 수 있는 구조가 아니었다.◇정책보다 빨랐던 기술, 전장을 먼저 바꾸다바로 이 지점이 이번 사안을 상징적으로 만든다. AI는 더 이상 단순한 보조 도구가 아니다. 팔란티어가 전장의 방대한 데이터를 통합해 상황을 보여주면, 클로드 같은 AI 모델은 그 위에서 목표물의 위협 수준을 분석하고, 타격 우선순위를 제시하며, 공격 시나리오를 시뮬레이션한다. 인간 지휘관이 최종 승인 권한을 갖고 있지만, 분석과 판단의 상당 부분은 이미 AI가 선행하고 있다.이는 전쟁의 구조 자체가 바뀌고 있다는 뜻이다. 과거에는 인간이 정보를 모아 판단하고 기계가 이를 실행했다면, 이제는 기계가 먼저 분석하고 인간이 마지막 결정을 승인하는 구조로 옮겨가고 있다. 드론이 전술을 바꾸고 스타링크가 전장의 통신 구조를 바꿨다면, AI는 이제 전쟁의 의사결정 구조 자체를 바꾸고 있다.이 과정에서 AI를 둘러싼 논쟁도 한층 복잡해졌다. 단지 성능이 뛰어나냐 아니냐가 아니라 어떤 기준으로, 누구의 책임 아래, 어디까지 활용할 수 있느냐가 핵심이 됐다. 전장에 들어간 AI는 더 이상 기술 기업의 제품 하나가 아니라 국가 안보와 직결되는 인프라의 일부가 되고 있다.이 갈등은 곧바로 빅테크 간 충돌로 번지기도 했다. 다리오 아모데이 앤스로픽 CEO는 오픈AI가 국방부와 계약하며 내세운 안전장치를 두고 “안전 연극”이라고 비판했다. 군사 활용을 사실상 허용하면서도 안전을 말하는 것은 보여주기에 가깝다는 주장이다. 반면 샘 올트먼 오픈AI CEO는 AI 통제의 최종 권한은 기업이 아니라 민주적 정당성을 가진 정부에 있어야 한다는 입장을 내놨다.겉으로 보면 두 CEO의 신경전 같지만, 실제로는 더 근본적인 질문이 놓여 있다. AI의 통제권은 누구에게 있어야 하는가. 기술을 만든 기업이 선량함을 무기로 윤리 기준까지 정할 것인지, 아니면 국가가 안보를 이유로 최종 판단권을 가질 것인지가 충돌하고 있는 것이다. 어느 한쪽이 쉽게 정답이 되기도 어렵다. 기업은 기술을 더 잘 알지만 공적 정당성이 약하고, 정부는 권한은 강하지만 기술 변화의 속도를 따라가기 쉽지 않다.도널드 트럼프 미국 대통령 (사진=AFP)사진=AFP◇AI 통제권 전쟁, 이제 한국의 문제다이번 사건이 한국에 던지는 메시지는 분명하다. AI가 군사·안보 시스템의 핵심이 되는 시대에는 구글, 오픈AI, 앤스로픽 같은 해외 빅테크 모델에 대한 의존 자체가 구조적 리스크가 될 수 있다. 기업의 정책 변화나 사용 중단 조치가 곧바로 국가 안보 체계의 불안으로 이어질 수 있어서다.따라서 정부가 추진하는 독자 AI 파운데이션 모델도 단순한 산업 육성을 넘어 통제력 확보의 관점에서 봐야 한다. 중요한 것은 기술을 얼마나 직접 관리하고 설명할 수 있느냐다. 외국 오픈소스 모델과의 유사성 논란 역시 단순한 사용 여부보다 라이선스 관리와 통제 가능성의 문제로 접근해야 한다.특히 국방까지 포함하는 소버린 AI를 지향한다면 기준은 더 엄격해야 한다. 외부 코드를 읽고 이해해 재구성하거나 수정할 수 있는지, 문제가 생겼을 때 즉시 대응할 인력과 권한이 있는지가 핵심이다. 구조를 장악하지 못하면 보안 사고나 백도어 위험에 제대로 대응하기 어렵다.국방 AX도 더 이상 구호에 머물러서는 안 된다. 무인화·지능화되는 현대전에 대응하려면 경직된 무기 획득 체계부터 바꿔야 한다. 기술력을 가진 기업들이 실제로 참여할 수 있도록 제도와 조달 구조를 함께 손질해야 전장에 필요한 AI를 빠르게 도입하면서도 통제와 책임의 원칙을 지킬 수 있다.이번 클로드 사태가 보여준 것은 하나다. AI 전쟁은 먼 미래가 아니라 이미 시작된 현실이라는 점이다. 한국도 이를 남의 나라 이야기로 볼 수 없다. 필요한 것은 기술 개발 경쟁만이 아니라, 그 기술을 끝까지 통제하고 책임질 수 있는 국가적 준비다.