‘인공지능(AI) 3대 강국’ 도약을 내건 정부가 국가·공공기관에서도 생성형 AI와 클라우드를 활용할 수 있도록 새로운 보안 체계 도입에 나선다. 기존 망분리 정책의 한계를 보완한 ‘국가망보안체계(N2SF)’ 확산을 위해 45억원 규모 실증 사업을 추진한다. 국가·공공기관에서도 AI 업무환경이 열리는 것이다.
12일 권혁 한국인터넷진흥원(KISA) AI정보보호팀장은 서울 중구 HJ비즈니스센터에서 기자들과 만나 “전자정부에서 디지털정부, AI 정부로 환경이 변화했지만 공공기관 업무 환경은 여전히 망분리 구조에 머물러 있었다”며 “공공기관 업무 환경에서도 AI와 클라우드를 활용할 수 있도록 보안 체계를 개선하는 것이 목표”라고 말했다.
현재 국가·공공기관은 업무망과 인터넷망을 물리적으로 분리하는 망분리 정책을 적용하고 있다. 2006년 국가정보보안 기본지침을 통해 도입돼 2007년부터 국가·공공기관에 의무화됐다. 내부 업무망 PC에서는 문서 작성과 결재 등 업무만 가능하고 인터넷 접속은 별도 PC에서만 할 수 있다. 이 때문에 업무망에서는 생성형 AI 활용이나 외부 클라우드 자료 활용이 사실상 불가능했다.
이러한 문제를 해결하기 위해 국가정보원이 만든 새로운 보안 체계가 N2SF다. 기존의 획일적인 망 분리 정책을 대신해 AI와 클라우드 등 신기술을 안전하게 활용할 수 있도록 보안 등급에 따라 차등화된 보안 대책을 적용하는 것이 핵심이다. 기관이 보유한 정보는 기밀(C)·민감(S)·공개(O) 등급으로 분류되며 등급별로 보안 통제가 적용된다.
국정원은 지난해 9월 ‘N2SF 정식 가이드라인’을 발표했으며 과학기술정보통신부가 지난해부터 관련 실증 사업을 수행하고 있다. 실증 사업은 정보 서비스 현황 파악, C/S/O 정보 분류, 위협 식별, 보안 통제 적용, 적절성 평가, 국정원 보안성 검토 등의 절차로 진행된다.
권 팀장은 “신규 정보 시스템 2개를 비롯해 기존에 운영되던 공공기관 시스템 4개를 대상으로 실증을 진행했다”며 “업무 환경에서의 생성형 AI 활용, 업무 단말의 인터넷 활용 등을 할 수 있도록 보안 대책을 적용했다”고 설명했다. AI 데이터 유출 방지(AI DLP), 브라우저 격리(RBI), 제로 트러스트 기반 접근 통제 등이다.
올해는 지난해 실증으로 검증이 완료된 N2SF 정보 서비스 모델 6개를 대상으로 도입 지원 공모 사업을 추진한다. 총 45억원 규모로 6개 과제에 7억5000만원씩 예산이 지원된다. N2SF 정보 서비스 모델을 도입할 수요 기관은 구현·적용·운영 역량을 보유한 공급 기업 컨소시엄(3~5개사)과 함께 사업에 지원할 수 있다.
아직 실증되지 않은 보안 모델에 대해서는 별도의 용역 사업을 통해 추가 검증을 진행할 예정이다. KISA는 이러한 실증 결과와 적용 사례를 정리해 공공기관이 참고할 수 있는 사례집 형태로 배포할 계획이다.
권 팀장은 “공공기관에서 경영 평가 가점을 받으려면 AI를 도입해야 하고 그럼 국정원의 보안성 평가가 필수적”이라며 “이때 N2SF를 적용하면 가점을 받는다”고 밝혔다. AI 도입이 확대되는 상황에서 공공기관의 N2SF 구축을 유도하기 위한 정책적 장치가 마련돼 있다는 설명이다.
정부는 확보한 적용 사례를 바탕으로 공공기관 도입을 확대하고 AI 활용이 가능한 공공 업무 환경을 단계적으로 구축한다는 계획이다. 권 팀장은 국정원의 N2SF에 대해 “망 분리 정책이 도입된 지 약 17년 만의 대격변”이라며 “망 분리 개선은 공공기관의 업무 혁신과 함께 새로운 보안 산업 시장을 형성할 것”이라고 말했다.
