AI 시대, 과도한 데이터 축적은 '보안 시한폭탄'…국가 안보까지 위협

러시아 스파이 '히트 리스트'부터 日 보안 허술 데이터베이스까지…AI 기반 표적 공격
최소 데이터 축적(MiDA) 원칙 시급…정부 규제 강화 등 '선제적 방어' 필요

024년 11월 17일 망명한 러시아 야당 올리가르히인 미하일 호도르코프스키가 런던 주재 러시아 대사관 밖에서 발언하고 있다. 사진=로이터

인공지능(AI) 시대의 도래와 함께 폭발적으로 증가하는 데이터 축적은 편리함과 효율성을 가져다주지만, 동시에 간과할 수 없는 심각한 사이버 보안 위협으로 부상하고 있다고 12일(현지시각) 일본의 경제신문 닛케이 아시아가 보도했다.

러시아 스파이의 표적 목록 작성부터 보안이 허술한 일본 데이터베이스 유출 사례에 이르기까지, 개인 정보의 부적절한 사용은 개인의 사생활 침해는 물론 국가 안보까지 위협하는 '시한폭탄'과 같다는 경고가 나오고 있다.

최근 망명 중인 러시아 야당의 거물 미하일 호도르코프스키는 러시아 군사 정보기관 GRU의 유럽 내 악성 활동에 대한 충격적인 정보를 폭로했다.

그의 주장에 따르면, 푸틴의 스파이들은 크렘린에 비판적인 언론인, 정치인, 공인들의 '히트 리스트'를 작성하고 있으며, 이를 위해 2025년 초 GRU 요원들에게 주소, 이메일, 전화번호는 물론 습관과 일상생활까지 포함하는 상세한 개인 정보 수집 긴급 명령이 하달되었다.

이는 개인 데이터가 단순한 정보가 아닌, 정적 제거 및 영향력 공작의 '무기'로 활용될 수 있음을 시사하는 섬뜩한 사례다.

물론 이러한 위협은 유럽이나 러시아에만 국한된 문제가 아니다. 개인 데이터 보호 및 정부 기관, 통신사, 은행, 운송 회사, 온라인 쇼핑몰 등 상업 기관이 수집한 정보의 부적절한 사용 문제는 일본을 포함한 다른 지역에서도 심각한 현안으로 떠오르고 있다.

예를 들어, 누군가를 프로파일링하려는 악의적인 사용자가 특정인의 아마존 구매 내역에 접근할 수 있다면, 주문 목록에서 상당한 양의 개인 정보를 추출하여 악용할 수 있다. 개 사료 구매 기록을 통해 반려동물 종류, 크기, 품종, 심지어 거주 지역의 안전도까지 추론할 수 있으며, 배송 옵션과 시간을 분석하여 부재 시간대까지 파악하는 것이 가능하다.

개인 정보 보호는 외교관, 보안 관계자, 기업 기밀 보유자, M&A 관련 기업가, 지적 재산권 보호 대상 디자이너 등 특정 집단에게 더욱 민감한 문제이다. 마케팅 및 광고 목적으로 수집된 데이터 역시 범죄자에 의해 악의적으로 용도가 변경될 수 있다.

물론 개인 정보 수집에 대해 지나치게 편집증적인 태도를 취하는 것 또한 바람직하지 않다. 현대 사회에서 우리의 디지털 데이터는 우리가 존재한다는 것을 증명하는 중요한 '디지털 ID'이기 때문이다.

하지만 우크라이나를 포함한 여러 국가에서 발생한 통신사나 철도 회사의 컴퓨터 시스템 침해 및 데이터 유출 사례는 과도한 데이터 축적(EDA, Excessive Data Accumulation)이 피해 규모를 얼마나 증폭시킬 수 있는지를 명확하게 보여준다.

문제는 많은 서비스 제공업체들이 서비스를 제공하는 데 필요한 최소한의 데이터보다 훨씬 많은 양의 개인 정보를 요구한다는 점이다. 거의 매일 고객들은 배우자 만난 도시, 모교 이름, 어머니의 결혼 전 이름 등 불필요한 세부 정보까지 포함된 이중 인증 양식을 작성하도록 요구받는다.

애플이 iOS 기기 보안으로 명성이 높고 지문 및 얼굴 인식 기술을 널리 사용하고 있지만, AI와 양자 컴퓨팅 기술이 빠르게 발전하는 시대에는 그 어떤 보안 시스템도 완벽할 수 없다.

월스트리트 저널 보도에 따르면, 샘 알트만은 생체 인식 데이터 수집 및 처리에 대한 우려에도 불구하고 암호화폐와 교환하여 전 세계 모든 사람의 홍채를 스캔하는 것을 목표로 하는 프로젝트를 추진하고 있다. 만약 누군가의 지문이나 홍채 정보가 해킹당한다면 상상하기조차 끔찍한 결과를 초래할 수 있다.

이러한 문제점을 해결하기 위해 적절한 규제를 통해 EDA를 처리해야 한다는 주장이 힘을 얻고 있다.

서비스 제공 또는 비즈니스 운영에 필수적인 최소한의 데이터에 대한 포괄적인 분석을 기반으로 데이터 수집 및 저장 범위를 엄격하게 제한해야 한다. 이상적인 접근 방식은 가능한 모든 상황에서 최소 데이터 축적(MiDA, Minimum Data Accumulation) 원칙을 적용하는 것이다.

기업의 경우 외부 전문가 감사를 통해 EDA 문제를 식별하고 개선 방안을 모색할 수 있다. 정부 차원에서는 적절한 입법을 통해 EDA 문제에 대한 실질적인 해결책을 모색해야 할 시점이다. AI 혁명의 시대에 MiDA 원칙의 구현은 더 이상 선택 사항이 아닌 필수적인 생존 전략이다.

신민철 글로벌이코노믹 기자 shincm@g-enews.com