유럽집행위원회가 7월 7일 AI 사이버보안 액션플랜을 공식 발표했습니다. AI모델 평가·보안테스트·혁신챌린지, 3대 축으로 짜인 계획이에요. 새 법 대신 기존 AI법 집행을 강화하는 쪽으로 방향을 잡았습니다.
오늘(7월 7일) 유럽집행위원회가 AI 사이버보안 액션플랜을 공개했어요. 이름은 좀 거창한데 막상 뜯어보면 꽤 실무적인 내용이라 읽을 만합니다. 근데 타이밍이 묘해요 — 요즘 전 세계적으로 AI 거버넌스 얘기가 쏟아지는 와중에(UN 제네바 회의, ITU 위원회 논의 등등) EU가 굳이 사이버보안이라는 구체적인 각도로 파고든 거거든요 🤖
이번 플랜은 기존 AI법(AI Act)과 사이버보안 규정 위에 세워진 겁니다. 큰 축은 세 가지인데, 먼저 고위험 AI 모델을 시장에 내놓기 전에 제3자가 평가하는 체계를 EU 차원에서 만드는 거고 — 이건 AI Office의 규제 기능을 뒷받침하는 역할을 하게 됩니다. 두 번째는 ENISA(유럽 사이버보안청)와 함께 '유럽 블루프린트'를 만들어서, 에너지·교통·의료·금융·행정 같은 핵심 분야 기관들이 AI 솔루션을 안전하게 시험하고 도입할 수 있는 보안 테스트 플랫폼을 구축하는 거예요. 마지막은 'EU AI 사이버보안 그랜드 챌린지'라는 이름으로 기업, 연구자들을 모아서 혁신적인 AI 기반 보안 솔루션을 만들어보자는 건데, 사실 이건 EU가 자주 꺼내는 카드죠. 직접 돈을 쏟아붓기보다는 판을 깔아주는 방식.
근데 이 플랜을 관통하는 문제의식은 하나예요. AI가 사이버보안에서는 양날의 검이라는 거. 취약점을 찾아내고 공격을 막고 인프라를 지키는 데도 쓰이지만, 반대로 악의적인 행위자가 공격을 자동화하고 취약점을 훨씬 빠른 속도로 찾아내는 데도 똑같이 쓸 수 있거든요 ⚡ 방어 속도와 공격 속도가 같이 올라가는 셈이라, EU 입장에서는 규제 프레임을 서두를 수밖에 없었을 거예요.
그런데 정작 눈에 띄는 건 이번엔 새 법이 없다는 점이에요. mlex 보도를 보면 이 액션플랜은 새로운 입법 없이, 있는 AI법을 더 잘 집행하는 데 초점을 맞췄다고 해요. 솔직히 말하면 저는 이 접근이 나쁘지 않다고 봐요 ✅ AI법 자체가 워낙 방대하고 이제 막 시행 국면에 들어간 상황이라, 새 규정을 또 얹기보다는 지금 있는 걸 제대로 작동시키는 게 우선일 수 있죠. 다만 '집행 강화'라는 말이 늘 그렇듯 구체적인 예산이나 인력 없이는 선언에 그칠 위험도 있어서, 이 부분은 좀 더 지켜봐야 할 것 같아요.
유로뉴스가 짚은 대목도 흥미로운데요, 이 플랜이 '미국 AI 모델에 대한 의존' 속에서 나왔다는 프레이밍이에요. 결국 유럽의 핵심 인프라를 지키는 사이버보안 도구조차 오픈AI, 앤트로픽, 구글 같은 미국 기업 모델에 기대고 있는 현실에 대한 불안감이 깔려 있는 거죠. 근데 이 불안감이 실제 능력으로 이어질지는 또 다른 문제예요. 평가 체계 만들고 테스트 플랫폼 깔고 챌린지 여는 것과, 실제로 미국 빅테크급 모델을 유럽 안에서 직접 만들어내는 건 완전히 다른 난이도의 일이거든요 💼 사실 이번 플랜에는 유럽산 AI 모델을 직접 키우겠다는 내용은 없고, 어디까지나 '평가·테스트·검증' 인프라를 유럽이 쥐겠다는 쪽에 가까워요.
결국 질문은 이거예요. 검증과 테스트의 주도권을 쥐는 것만으로 사이버보안 주권이라는 게 성립할 수 있을까, 아니면 모델 자체를 만들 능력 없이는 반쪽짜리 주권에 머물 수밖에 없을까 — 이 플랜이 1년, 2년 후에 어떤 성적표를 받을지 궁금해지네요.
출처