"AI, 디지털 시대 최대 도전과제"…보안 가이드라인 `출격 준비`

실시간
뉴스

보안

"AI, 디지털 시대 최대 도전과제"…보안 가이드라인 '출격 준비'

디지털데일리 발행일 2024-12-11 17:41:13

김보민 기자

URL복사

이상중 KISA 원장 "신기술 발전으로 일상과 안보 위협"
AI 보안 가이드라인 연구, ISMS-AI 기준 마련도 검토
공급망보안·망분리 완화 변화 속 '사전대응 역량' 필수

이상중 한국인터넷진흥원(KISA) 원장이 11일 서울 용산구 전쟁기념관에서 열린 '사이버보안 성과 발표회'에서 개회사를 하고 있다.

[디지털데일리 김보민기자] 내년에도 인공지능(AI) 기술을 악용한 사이버 위협이 고도화될 것이라는 전망이 나왔다. AI 특화 보안체계가 선택이 아닌 필수로 떠오른 가운데 전용 가이드라인도 출격을 준비하고 있다.

◆ 개발자·서비스 제공자·이용자 대상 'AI 활용법' 제시

이상중 한국인터넷진흥원(KISA) 원장은 11일 서울 용산구 전쟁기념관에서 열린 '사이버보안 성과 발표회' 개회사를 통해 "AI와 양자 등 신기술 발전으로 우리 삶이 풍요로워지고 있다"면서도 "이를 악용한 사이버 공격 또한 지능화, 고도화되며 일상과 국가 안보를 위협하는 상황"이라고 밝혔다.

내년에도 사이버 위협에 대한 경각심이 커질 것으로 예측했다. 이 원장은 "이러한 위협은 단일 국가를 넘어 디지털 시대의 최대 도전 과제"라며 "각종 침해 사고와 개인정보 유출 피해를 예방하고, 현장 목소리를 반영한 정책을 수립할 수 있도록 최선을 다하겠다"고 강조했다.

KISA는 올해에 이어 내년에도 'AI 보안 가이드라인' 연구에 집중할 방침이다. 외부 침해와 위협 행위로부터 AI 개발자, 서비스 제공자, 이용자를 보호하기 위한 방안을 제시하자는 취지다. 특히 개발자와 서비스 제공자를 대상으로는 AI 모델 개발 전주기에 걸쳐 보호 및 AI 보안 위협 대응에 필요한 점검 항목을 제공하고, 이용자에게는 개인 및 민감정보 등 AI를 이용할 때 고려해야 할 보안 수칙을 알리는 데 초점을 두고 있다.

KISA는 가이드라인 공개 시점을 구체적으로 밝히지 않았지만, 내년을 목표로 연구를 이어갈 계획이다. 이날 'AI 시큐리티(Security) 가이드라인'을 주제로 발표한 김성훈 KISA 정책개발팀장은 "아직 완성 단계는 아니다"라며 "민간 보안 담당자, 실제 (가이드라인 요소를) 적용할 사업자와 회의를 진행하고 있고 추가적으로 다듬는 작업이 필요한 상태"라고 분위기를 전했다.

AI 보안을 논한 가이드라인이 나오는 것은 이번이 처음이 아니다. 과학기술정보통신부는 '신뢰할 수 있는 인공지능 개발 안내서'를, 국가정보원은 '챗GPT 등 생성형 AI 활용 보안 가이드라인'을 공개한 바 있다. 금융위원회도 '금융분야 인공지능 가이드라인'을 마련했고 개인정보보호위원회는 개인정보보호법 적용 원칙과 기준을 더한 AI 단계별 6대 가이드라인을 개발한 바 있다.

KISA측은 이번 가이드라인이 기존과 차별점이 있다고 설명했다. 김 팀장은 "과학기술정보통신부 안내서의 경우 AI 개발 과정에서 신뢰성을 확보하는 것을 목적으로 했다면, KISA 가이드라인은 외부 공격 보호를 위해 개발자, 제공자, 이용자를 중심으로 나눈 것이 특징"이라고 부연했다. 이어 "기존에 나와 있는 위험 관리 프레임워크와 주요국 보안 프레임워크를 참고해 국내에 맞는 방향성을 제시할 예정"이라고 말했다.

AI에 특화된 정보보호관리체계(ISMS)를 실현하는 방안도 구상 중이다. 김 팀장은 "보안 가이드라인을 기초로 ISMS-AI 등을 수립해 민간에 활용될 수 있도록 노력하겠다"고 밝혔다.

◆ 국내 보안체계 변화 급물살…'사후약방문' 조치 사라진다

황보성 KISA 정책연구실장이 11일 서울 용산구 전쟁기념관에서 열린 '사이버보안 성과 발표회'에서 2025년도 10대 이슈를 소개하고 있다.

KISA는 내년 사이버보안 시장을 관통할 이슈와 트렌드를 공유하는 시간도 가졌다. 주요 10대 이슈로는 ▲AI 진화와 사이버 위협 증대 ▲국내 공급망 보안체계 구축 본격화 ▲AI, 데이터 활용 증가, 망분리 완화 정책으로 클라우드 시장 변화 ▲AI 보안 산업 가속화 ▲망분리 완화 주목 ▲사이버 복원력 중요성 확대 ▲사후 대응에서 사전 예방 중심으로 패러다임 변화 ▲모빌리티 보안 인증 시작 ▲범국가적 피싱 제로 대책 이행 ▲양자내성암호 전환 시작 등이 꼽혔다.

특히 '변화가 필요하다'는 비판을 받아온 소프트웨어(SW) 공급망 보안 영역에 패러다임 전환이 본격화될 것으로 내다봤다. 황보성 KISA 정책연구실장은 "국제 규제에 대비해서 국내 공급망 체계 구축이 필요해졌다"며 "단기적으로는 국내 기업 소프트웨어자재명세서(SBOM) 구축을 지원하고, 장기적으로 관리 체계에 대한 평가와 인증제도 등이 검토될 전망"이라고 말했다.

이전에는 물리적 방식으로 획일적인 망분리가 대세였다면, 내년에는 분위기가 달라질 것이라는 점도 강조했다. 금융권의 경우 당국 차원에서 가이드라인을 발표했고, 국가정보원 또한 중요 데이터를 분류하는 다층보안체계(MLS) 도입 작업을 추진 중이다.

황 실장은 망분리 완화로 제로트러스트 또한 주목을 받을 것으로 예측했다. 그는 "망분리 완화가 본격화되면서 제로트러스트에 대한 관심이 집중되고 있다"며 "다만 관심에 비해 실제 제로트러스트 개념을 이해하고 적용하는 것은 미흡한 상황"이라고 진단했다. 이어 정부가 이달 발표한 제로트러스트 가이드라인 2.0을 언급하며 "내년에는 망분리 완화 환경에서 해당 가이드를 통해 제로트러스트 적용을 확대하고, 장기적으로 ISMS 제도에 있는 항목과 체크리스트 간 연계 검토가 필요해질 것"이라고 말했다.

이러한 변화 속 사후약방문식 보안 체계가 의미를 잃을 수 있다고도 강조했다. 황 실장은 "수동 방어 방식의 경우 비용이 많이 들고 피해 확산을 방지하는 것도 제한되는 것이 현실"이라며 "능동적으로 보안을 해야 한다는 주장이 제기되는 이유"라고 강조했다. 이어 "실제 취약점이 발견된 제품과 서비스에 대해 직접 조치 명령을 할 수 있는 법적 근거 또한 필요해질 전망"이라고 내다봤다.

한편 KISA는 내년 'AI 보안 위협 대응 방안(가칭)'을 수립하고, 위협과 취약점 대응을 전문으로 하는 'AI 시큐리티 레드팀'을 구성할 계획이다. 아울러 SW 개발 및 협력사를 대상으로 SBOM 구축 시범사업을 추진하고, 연계형 국가 취약점 데이터베이스(DB)를 구축해 보안 관리 체계를 고도화할 방침이다.