날카로운 칼날이 탑재된 수십kg 무게의 자율주행 잔디깎이 로봇이 누군가의 원격 조종으로 사람을 향해 돌진한다면 어떻게 될까. 그동안 개인정보 유출이나 금전 손실에 그쳤던 사이버 위협이 이제는 인간의 신체를 겨누는 ‘물리적 위협’으로 다가오고 있다.

실제로 시장에서 1000대가량 판매됐던 중국산 야보 자율주행 잔디깎이 로봇에서 지난 5월 치명적인 보안 취약점이 발견됐다. 백도어 해킹을 통해 무려 6000마일 밖에서도 로봇 GPS 정보에 접근하고 원격 제어할 수 있었던 것. 잔디깎이 로봇에는 날카로운 절단 칼날이 붙어 있는 데다 자율주행으로 이동하기 때문에 해커가 이를 악용해 사람을 향해 돌진시키면 단순한 사이버 사고가 아니라 ‘무기’가 된다.

20일 국회에서 김장겸 국민의힘 의원·한국경영정보학회·연세대 바른ICT연구소가 공동주최한 ‘피지컬 AI 시대, 일자리와 보안’ 토론회에서 발제자로 나선 노병규 연세대 바른ICT연구소 교수는 이 같은 사례를 소개하며 “기존 사이버보안은 데이터유출, 서비스 장애가 중심이었지만 피지컬 AI에서는 해킹이 곧 물리적 사고, 인명 피해, 기반시설 마비, 군사적 악용으로 확장될 수 있다”고 경고했다.

노 교수는 “2024년 12월 통과돼 2026년 1월부터 시행되고 있는 AI기본법은 피지컬 AI 보안 관점에서 사각지대가 너무 많다”면서 “AI기본법은 생성형 AI와 고영향 AI의 투명성, 윤리 중심으로 설계됐고 논의의 초점이 당시 챗GPT의 개인정보 침해 등에 맞춰져 있었기 때문”이라고 설명했다.

그는 “사람이 다쳤을 때 제조사 책임이 어느 정도인지 해킹 시 사고 책임 주체가 누구인지, 취약점 공시 의무를 포함해 텔레메트리 국외이전 등의 기준이 없다”면서 “이마트에서 판매되는 유니트리 로봇이 300초마다 중국 서버로 데이터를 전송해도 이를 막을 법이 없다”고 지적했다.

이어 “피지컬 AI 보안은 국민 안전과 국가 안보를 좌우하는 핵심 인프라로 봐야 된다”면서 “피지컬 AI를 독립적인 사이버 물리 안보 영역으로 규정하고 전용 보안 체계와 국가 차원의 통합 거버넌스를 구축해야 된다”고 강조했다.

토론자로 나선 강대엽 로욜라메리마운트대 교수는 “보안이라는 게 당장 경제적 가치를 가져다주는 게 아니기 때문에 항상 사고 전에는 비용으로만 인식이 된다”면서 “그러다가 사고가 나면 그제서야 책임 이슈로 번지는 형태”라며 현 시스템의 문제를 진단했다.

그는 특별법 제정과 위원회 신설에 동의하면서도 “법은 필요하지만 법은 기술을 따라가는 속도가 느리고, 위원회는 권한과 예산이 없으면 책임을 분신시키는 장치가 될 수 있다”면서 “더 중요한 것은 사고 이전에 누가 비용을 부담하고, 누가 검증하며, 누가 패치하고, 누가 사고를 보고하며, 누가 공공 인프라 진입을 승인하거나 차단할 것인가를 명확히 정하는 것이 필요하다”고 밝혔다.

이날 토론회를 주최한 김장겸 국민의힘 의원은 “지금까지의 해킹이 개인정보 유출, 명의도용, 금전 피해로 이어지는 문제였다면 피지컬 AI 시대 해킹은 물리적 피해로 직결될 수 있다”면서 “피지컬 AI가 국민의 안전을 위협하는 불안 요인이 아니라 대한민국의 경쟁력을 높이는 기반이 되도록 지혜를 모아야 한다”고 말했다.

박소원 기자 hopepark@naeil.com