고려대 정보보호대학원, AI·사이버안보 거버넌스 국제 컨퍼런스 개최

핵심 요약

- 고려대 정보보호대학원이 2026년 글로벌 AI·사이버안보 거버넌스 컨퍼런스를 개최하며 국제 협력 플랫폼 구축 - AI 시스템 개발·운영 과정의 보안 취약점과 개인정보보호 리스크 관리 방안 집중 논의 - AI 거버넌스 체계 확립을 위한 학계·산업계·정부 간 협력 방향 제시

주요 내용

고려대학교 정보보호대학원이 2026년 6월 AI 시대 사이버안보와 개인정보보호 거버넌스를 주제로 국제 컨퍼런스를 개최했다. 이번 행사는 전 세계적으로 AI 기본법 제정과 AI 안전성 규제가 강화되는 시점에서, 학계와 산업계가 실질적인 거버넌스 체계를 논의하는 장으로 마련됐다.

특히 이번 컨퍼런스에서는 생성형 AI의 급속한 확산에 따른 보안 위협이 중점적으로 다뤄졌다. 바이브 코딩(Vibe Coding) 환경에서 개발자들이 자연어 프롬프트로 코드를 생성할 때 발생하는 보안 취약점이 주요 의제로 상정됐다. LLM(대규모언어모델)이 자동 생성하는 코드에는 SQL 인젝션, 인증·인가 로직 미비, 경쟁 조건(Race Condition) 취약점 등이 포함될 수 있으며, 이는 개인정보 유출로 직결될 수 있다는 우려가 제기됐다.

컨퍼런스 참가자들은 AI 보조 개발 환경에서의 보안 강화를 위해 ①AI 생성 코드에 대한 자동화된 보안 검증 프로세스 도입 ②개발자 대상 AI 보안 교육 강화 ③AI 시스템 개발 생명주기 전반의 개인정보 영향평가(PIA) 의무화 등을 제안했다. 또한 청소년 AI·코딩 교육 과정에서도 디지털새싹, 사이버가디언즈 등 프로그램을 통해 초기 단계부터 보안 인식을 내재화하는 교육이 필요하다는 의견이 모아졌다.

고려대 정보보호대학원은 이번 컨퍼런스를 시작으로 AI 거버넌스 연구센터 설립과 정기적인 국제 협력 네트워크 운영을 계획하고 있다. 이는 2026년 본격 시행되는 각국의 AI 규제 법안에 대응하고, 산업계가 실무에 적용 가능한 가이드라인을 개발하는 데 기여할 전망이다.

전문가 시각

ISMS-P 심사 현장에서 최근 가장 빈번하게 발견되는 문제가 바로 AI 도구를 활용한 개발 과정의 보안 통제 부재다. 개발자들이 ChatGPT, GitHub Copilot 등을 통해 생성한 코드를 충분한 검토 없이 프로덕션 환경에 배포하면서, 개인정보 처리 로직에 암호화 누락, 접근 권한 검증 미비 등의 취약점이 그대로 반영되는 사례가 급증하고 있다. 특히 바이브 해킹(Vibe Hacking)을 통해 공격자가 악의적인 프롬프트로 취약한 코드 생성을 유도하는 위협까지 현실화되고 있어, AI 거버넌스 체계 확립이 시급한 상황이다.

기업들은 AI 보조 개발 도구 사용 시 반드시 ①생성 코드에 대한 정적 분석(SAST)·동적 분석(DAST) 자동화 ②AI 도구 사용 로그 기록 및 주기적 감사 ③개인정보 처리 코드에 대한 필수 코드 리뷰 프로세스를 구축해야 한다. 또한 개발자 교육에서 Build with AI, ChatGPT 활용 교육 시 보안 코딩 원칙을 함께 교육하여, AI 시대에도 안전한 시스템 개발 역량을 확보해야 한다.

CPPG·ISMS-P 연계 포인트

AI 시스템 개발 시 개인정보 영향평가(PIA): ISMS-P 인증 기준 3.3.4에서는 개인정보를 처리하는 신규 시스템 도입 시 사전 영향평가를 요구한다. AI 자동 생성 코드로 개발된 시스템도 개인정보 수집·이용·제공 로직에 대한 사전 평가가 필수이며, 특히 LLM이 생성한 개인정보 처리 코드의 적법성·안전성 검증이 반드시 포함되어야 한다.

보안 취약점 점검 자동화 체계: ISMS-P 인증 기준 2.8.3 보안 취약점 점검 항목에서는 정기적인 취약점 진단을 요구한다. AI 보조 개발 환경에서는 코드 커밋 단계에서 자동화된 보안 스캐닝 도구(SAST)를 CI/CD 파이프라인에 통합하여, 인젝션 공격, 인증 우회 등 OWASP Top 10 취약점을 사전 탐지하는 체계 구축이 핵심이다.