보안 담당자에게 가장 쉬운 답은 "안 됩니다"일지 모른다. 외부 사이트 접속도 안 되고, 클라우드도 안 되고, 생성형 AI(인공지능)도 안 된다고 하면 당장은 위험이 줄어든 것처럼 보인다. 막으면 새어나갈 일도 없고, 연결하지 않으면 뚫릴 일도 없다는 논리다.
하지만 AI 시대에는 이 방식이 통하지 않는다. 기업·공공기관의 업무방식은 이미 바뀌었다. 직원들은 보고서 초안을 쓰고 코드를 짜고 자료를 요약하기 위해 생성형 AI를 쓴다. 기관과 기업도 AI와 클라우드를 활용해야 생산성을 높일 수 있다. 막는다고 안 쓸까. 개인 계정을 쓰거나 통제되지 않는 외부 서비스에 내부 자료를 올리는 식의 '더 위험한' 사용이 늘어날 수 있다.
'허용'보다 '음성화'가 보안 측면에서 더 위험할 수 있다. 회사가 공식 계정·관리체계를 제공하지 않으면 직원은 각자 편한 도구를 찾는다. 이때 어떤 자료를 입력했는지, 어떤 답을 받았는지, 그 과정에서 개인정보·영업기밀이 오갔는지 확인하기 어렵다. 금지는 표면적 통제를 만들지만 실제 위험은 보이지 않는 곳으로 이동한다.
그동안 국내 공공보안의 기본값은 망분리였다. 인터넷망과 업무망을 나눠 외부 위협을 차단하는 방식이다. 보안성은 높았지만 AI·클라우드 활용에는 제약이 컸다. 국가정보원이 추진하는 새 국가 망보안 체계, N2SF가 주목받는 이유도 여기에 있다. 무조건 막는 것이 아니라 정보의 중요도·위험도에 따라 접속을 허용하고 통제하는 쪽으로 보안방식을 바꾸자는 움직임이다.
생성형 AI도 마찬가지다. AI를 쓰게 할 것인가, 말 것인가는 더이상 고민거리가 아니다. 어떤 계정으로, 어떤 데이터를, 어떤 권한 안에서 쓰게 할 것인가의 문제가 됐다. 이는 직원 개인의 선택에 맡길 문제가 아닌 조직관리 체계 안으로 끌어와야 할 문제다.
국내 보안기업에는 기회다. 과거 보안이 차단과 격리에 가까웠다면 앞으로의 보안은 연결과 활용을 전제로 한다. AI와 클라우드를 쓰지 못하게 하는 기술보다 안전하게 쓰도록 해주는 기술의 가치가 커질 수밖에 없다. AI를 막는다고 보안이 강해지는 것은 아니다. AI 시대의 보안은 사용을 금지하는 '벽'이 아니라 안전하게 지나갈 수 있는 '통로'여야 한다.
