정부는 AI정부를 지향한다고 하지만 공무원은 여전히 업무망과 인터넷망 사이를 오가며 일하고 있다. 한국인터넷진흥원(KISA)가 추진하는 국가 망 보안체계(N2SF)는 그 간극을 메우려는 첫 단계다. 보안을 이유로 AI를 막는 시대에서, 보안을 전제로 AI를 쓰게 하는 시대로 넘어가는 시험대다.
15일 KISA(한국인터넷진흥원)에 따르면 지금까지 공공기관은 보안을 위해 내부 업무망과 인터넷망을 분리해 운영해왔다. 그 결과 인터넷 메일 사용이 어렵고, 문서 작성 과정에서 생성형 AI 같은 인터넷 도구를 활용하기도 쉽지 않았다. 클라우드나 웹드라이브 같은 외부 서비스도 제한을 받았다. 보안을 강화하려던 방식이 오히려 업무 효율을 떨어뜨리는 구조가 된 셈이다.
N2SF는 이런 구조를 무작정 푸는 제도가 아니다. 정보와 시스템을 중요도에 따라 나누고, 그 등급에 맞춰 보안수준을 다르게 적용하는 방식이다. 기관은 준비, C·S·O 등급분류, 위협식별, 보안대책 수립, 적정성 평가·조정의 5단계를 거쳐 N2SF를 적용한다. 여기서 정보는 기밀정보 C, 민감정보 S, 공개정보 O로 구분된다.
쉽게 말하면 모두를 똑같이 막는 대신, 중요한 정보는 더 강하게 지키고 상대적으로 덜 민감한 업무는 필요한 범위에서 AI와 인터넷을 쓰게 하자는 것이다. N2SF의 본질은 '망분리 완화'보다는 업무와 정보의 성격에 맞춘 '보안 재설계에 가깝다.
KISA는 지난해 실증사업을 통해 이같은 모델을 실제로 시험했다. 실증 대상은 모두 6종이다. 인터넷 단말의 업무 효율성 제고, 업무환경에서 생성형 AI 활용, 외부 클라우드 활용 업무협업 체계, 업무단말의 인터넷 이용, 공공 데이터의 외부 AI 융합, 클라우드 기반 통합 문서체계가 포함됐다.
가장 눈에 띄는 건 생성형 AI 활용 모델이다. 업무 단말에서 챗GPT(ChatGPT) 같은 생성형 AI 서비스에 접속해 업무에 활용하되, 외부 AI 서비스 접근 통제와 AI-DLP 같은 정보유출 방지 장치를 함께 적용하는 방식이다. 인터넷 이용 모델에는 브라우저 격리 RBI가 포함됐다. 공무원이 업무망에서 AI나 인터넷을 쓸 수 있게 하되, 아무렇게나 열어주는 게 아니라 별도 보안장치를 덧대는 구조다.
KISA 자료는 실증 전후 모습도 비교해 보여준다. 지금은 정부기관 업무환경이 인터넷과 물리적으로 분리돼 있어 생성형 AI 같은 인터넷 서비스를 쓸 수 없지만, AI-DLP와 RBI, UEM 등 보안대책을 적용한 뒤에는 이런 서비스 사용이 가능해지는 구조다.
독자들의 PICK!
올해는 실증을 넘어 확산 단계로 나아간다. 지난해 검증된 정보서비스 모델 6종을 바탕으로 국가·공공기관 도입 지원 사업이 추진된다. 국가·공공기관에 N2SF 구축을 위한 장비와 기술을 지원하는 방식이다. 동시에 무선 업무환경 운용체계 같은 신규 모델은 별도 사전 검증 대상으로 제시됐다.
결국 관건은 전면 도입이 아니라 어디부터 현실적으로 적용하느냐다. 모든 업무와 시스템에 한꺼번에 N2SF를 입히기는 어렵다. 실제 현장에서는 생성형 AI 활용, 외부 클라우드 협업, 인터넷 사용 같은 특정 업무 영역부터 적용이 이뤄질 가능성이 크다. KISA도 실증 결과를 사례로 축적해 도입 예정 기관의 참고자료로 활용한다는 방침이다.
