피지컬 인공지능(AI)이 빠르게 산업 현장으로 들어오고 있다. 휴머노이드, 물류 로봇, 공장 자동화 설비, 자율주행 장비까지 AI가 스크린 속 소프트웨어를 넘어 실제 공간에서 움직이고 판단하는 단계로 확장되면서 제조업과 반도체, 임베디드 기술 기반을 가진 한국에는 좋은 기회임은 틀림없다. 그러나 이 기회가 산업 경쟁력으로 이어지려면 기술 확산만큼이나 보안 구조를 먼저 갖춰야 한다.
피지컬 AI에서의 보안은 나중에 덧붙이는 부가 기능이 아닌 처음부터 함께 설계돼야 하는 기본 조건이다. 피지컬 AI가 사이버 공간과 물리 공간이 직접 연결되는 시스템이기 때문이다. 일반적인 정보기술(IT) 보안 사고가 정보 유출이나 서비스 장애에 그치는 경우가 많다면, 피지컬 AI에서는 해킹이나 오작동이 설비 멈춤, 생산 차질, 안전사고, 나아가 인명 피해로까지 이어질 수 있다. 물류 로봇의 경로 제어가 변조되거나 공장 자동화 설비의 안전 파라미터가 바뀌는 상황만 떠올려도 위험성은 충분히 이해할 수 있다.
이에 피지컬 AI 보안은 기존 IT 보안이나 사물인터넷(IoT) 보안과 접근법이 다르다. 기존 IoT 보안이 연결성과 기기 보호에 초점을 맞췄다면, 피지컬 AI 보안은 여기에 행동 승인과 안전 제어까지 포함해야 한다. 단순히 접속 주체를 확인하는 것만으로는 충분하지 않다. 장비와 소프트웨어가 신뢰할 수 있는 상태인지, 실행하려는 명령이 허용된 범위 안에 있는 지, 정책과 안전 기준을 벗어나지 않는 지까지 함께 검증해야 한다. 즉, 피지컬 AI 보안은 신원 인증을 넘어 행동 승인과 안전 제어까지 포함하는 문제라는 점이다.
설치 환경도 이를 더 어렵게 만든다. 피지컬 AI 장비는 데이터센터 내부가 아니라 공장, 도로, 매장, 물류창고, 도시 인프라처럼 외부에 노출된 현장에 배치된다. 따라서 사이버 공격뿐만 아니라 장비 탈취, 분해, 탬퍼링, 펌웨어 변조 같은 물리적 공격에도 대비해야 한다. 결국 소프트웨어 보안만으로는 한계가 분명하며, 하드웨어 기반의 신뢰 구조가 필수적이다.
최근 보안 업계의 핵심 이슈인 '논 휴먼 ID(Non-Human Identity)' 관리도 피지컬 AI 시대에는 더 중요하다. 수많은 로봇과 자율주행 장비가 인증서와 암호키를 바탕으로 클라우드와 연결되기 때문이다. 다만, 피지컬 AI 보안은 장비 신원 확인에 그치지 않고, 장비의 무결성과 물리적 실행의 신뢰까지 함께 요구한다.
따라서 피지컬 AI에는 중앙 보안 시스템, 현장 게이트웨이, 디바이스 내부를 하나로 잇는 계층형 보안 구조가 필요하다. 중앙에서는 암호키와 인증서, 정책을 안전하게 생성·관리하고, 현장에서는 이를 장비와 서비스 단위로 통제해야 하며, 디바이스 내부에서는 탬퍼 저항성을 갖춘 하드웨어 기반 보안 모듈을 통해 부팅, 펌웨어, 통신, AI 모델의 무결성을 보호해야 한다. 피지컬 AI의 단순 접속 통제가 아니라, 정상 장비가 정상 소프트웨어로 승인된 동작만 수행하도록 만드는 것이다.
또 하나 놓쳐서는 안 될 점이 바로 장기 운용성이다. 피지컬 AI 인프라는 한 번 구축되면 오랜 기간 현장에서 사용되기에 현재의 위협은 물론 미래의 암호 위협까지 고려한 설계가 필요하다. 양자컴퓨터 시대를 대비한 양자내성암호(PQC) 전환 논의가 피지컬 AI 분야에서 중요한 이유가 여기에 있다.
결국 피지컬 AI 시대의 경쟁력은 더 똑똑한 AI를 만드는 데만 있지 않다. 중요한 것은 AI를 현실 세계에 얼마나 안전하고 신뢰할 수 있는 방식으로 배치할 수 있느냐 하는 점이다. 한국이 피지컬 AI를 새로운 산업 기회로 만들기 위해서는 속도만이 아니라 신뢰를 함께 확보해야 한다. 정부와 산업계가 지금부터 보안을 전제로 한 피지컬 AI 전략을 체계적으로 설계해야 하는 이유다.
오상근 한국퀀텀컴퓨팅(KQC) 부사장