유럽집행위원회가 7월 7일 AI 사이버보안 액션플랜을 공식 발표했습니다. AI모델 평가·보안테스트·혁신챌린지, 3대 축으로 짜인 계획이에요. 새 법 대신 기존 AI법 집행을 강화하는 쪽으로 방향을 잡았습니다.
오늘(7월 7일) 유럽집행위원회가 AI 사이버보안 액션플랜을 공개했어요. 이름은 좀 거창한데 막상 뜯어보면 꽤 실무적인 내용이라 읽을 만합니다. 근데 타이밍이 묘해요 — 요즘 전 세계적으로 AI 거버넌스 얘기가 쏟아지는 와중에(UN 제네바 회의, ITU 위원회 논의 등등) EU가 굳이 사이버보안이라는 구체적인 각도로 파고든 거거든요 🤖
이번 플랜은 기존 AI법(AI Act)과 사이버보안 규정 위에 세워진 겁니다. 큰 축은 세 가지인데, 먼저 고위험 AI 모델을 시장에 내놓기 전에 제3자가 평가하는 체계를 EU 차원에서 만드는 거고 — 이건 AI Office의 규제 기능을 뒷받침하는 역할을 하게 됩니다. 두 번째는 ENISA(유럽 사이버보안청)와 함께 '유럽 블루프린트'를 만들어서, 에너지·교통·의료·금융·행정 같은 핵심 분야 기관들이 AI 솔루션을 안전하게 시험하고 도입할 수 있는 보안 테스트 플랫폼을 구축하는 거예요. 마지막은 'EU AI 사이버보안 그랜드 챌린지'라는 이름으로 기업, 연구자들을 모아서 혁신적인 AI 기반 보안 솔루션을 만들어보자는 건데, 사실 이건 EU가 자주 꺼내는 카드죠. 직접 돈을 쏟아붓기보다는 판을 깔아주는 방식.
근데 이 플랜을 관통하는 문제의식은 하나예요. AI가 사이버보안에서는 양날의 검이라는 거. 취약점을 찾아내고 공격을 막고 인프라를 지키는 데도 쓰이지만, 반대로 악의적인 행위자가 공격을 자동화하고 취약점을 훨씬 빠른 속도로 찾아내는 데도 똑같이 쓸 수 있거든요 ⚡ 방어 속도와 공격 속도가 같이 올라가는 셈이라, EU 입장에서는 규제 프레임을 서두를 수밖에 없었을 거예요.
그런데 정작 눈에 띄는 건 이번엔 새 법이 없다는 점이에요. mlex 보도를 보면 이 액션플랜은 새로운 입법 없이, 있는 AI법을 더 잘 집행하는 데 초점을 맞췄다고 해요. 솔직히 말하면 저는 이 접근이 나쁘지 않다고 봐요 ✅ AI법 자체가 워낙 방대하고 이제 막 시행 국면에 들어간 상황이라, 새 규정을 또 얹기보다는 지금 있는 걸 제대로 작동시키는 게 우선일 수 있죠. 다만 '집행 강화'라는 말이 늘 그렇듯 구체적인 예산이나 인력 없이는 선언에 그칠 위