"공공기관에서도 챗GPT 쓴다"…정부 공공기관 보안규제 확 푼다(종합)

등록 2024.09.11 17:30:00수정 2024.09.11 18:46:24

국제 사이버안보 행사 'CSK 2024' 통해 망분리 정책 유연화 발표

국가 전산망의 업무정보 중요도에 따라 보안 등급 나누는 MLS 도입

공공부문 AI·클라우드 도입 확산…제로트러스트 新보안수요 확대 기대

(사진=유토이미지) *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = 앞으로 정부 공공기관 업무용 PC로 챗GPT 등 인공지능(AI) 서비스를 이용할 수 있게 된다. 민간 클라우드 서비스 활용도 본격화될 전망이다.

정부가 '안보'를 명분으로 공공기관 업무 시스템에 적용했던 보안 규제를 대폭 풀기로 했다. 그동안 엄격했던 공공기관의 업무망·인터넷망 분리제도를 개선하고, 암호모듈의 검증 시 국제표준 제품들도 허용할 방침이다. 공무원들의 업무 효율을 높이고 데이터, 클라우드, 인공지능(AI) 기술을 기반으로 한 디지털플랫폼 정부 구현을 가속화하겠다는 취지로 국가 공공기관 보안체계를 대대적으로 개편키로 했다.

국가정보원 관계자는 "국가산업의 대동맥인 경부고속도로와 같이 공공데이터가 더욱 개방되고 쉽게 활용되는 디지털 고속도로의 기반을 제공함으로써, 디지털경제 혁신에 디딤돌이 돼 디지털플랫폼정부 구현에 기여할 것으로 기대된다"고 말했다.

업무망 인터넷망 분리된 현재 상태로는 AI·클라우드 활용 어려워…망분리 제도 개선 추진

국가정보원은 11일 서울 강남구 코엑스에서 열린 국제 사이버안보 행사 'CSK 2024'를 통해 망분리 정책 유연화·암호모듈검증제도(KCMVP) 개선책을 공개했다.

현행 공공기관들은 정부의 망분리 제도에 따라 외부 인터넷망과 내부 업무망을 물리적으로 분리해 사용하고 있다. 인터넷 서핑 혹은 파일 다운로드 등을 통해 내부망에 악성코드가 숨어들거나 해킹 공격을 통해 데이터가 유출되는 것을 원천 차단하겠다는 취지에서다. 이 때문에 그동안 정부 행정부처와 주요 공공기관·금융기관 임직원들은 업무용 시스템과 연결된 PC와 외부 인터넷망에 연결된 PC를 각각 따로 써야 했다.

그러다 지난해부터 '규제 완화'로 분위기가 급선회했다.

클라우드 기반 원격근무·AI 확산 이후 현재 획일적인 망 분리 제도가 공공데이터 공유와 AI·클라우드 등 신기술 활용 발목을 잡고 있다는 지적이 제기됐다. 현장에서도 AI 활용에 필요한 데이터와 연산 자원의 제한, 기술 업데이트의 어려움, 협업 제한 등이 발생했다.

현행 망분리 환경에서는 내부망과 외부망이 완전히 차단돼 있어, 외부에서 제공되는 클라우드 기반 데이터나 AI 학습용 데이터를 내부망으로 가져오기가 매우 어려웠다. AI 학습에 필요한 대량의 데이터는 외부에서 주로 제공되기 때문에, 현재의 망분리 환경에서는 데이터 수집과 관리에 제약이 있었다.

또 AI 기반 서비스는 인터넷을 통해 실시간으로 데이터를 처리하고 결과를 제공하는 구조다. 챗봇 서비스나 이미지 인식을 위한 AI는 클라우드에서 데이터를 처리하고 빠르게 결과를 변환하는 것이 일반적이다. 그러나 물리적 망분리 환경에서는 이러한 AI 서비스와의 연결이 불가능하거나 제한적이어서, 실시간 AI 서비스 제공이 어려웠다.

기밀등급은 엄격한 망분리…공개등급에선 데이터 활용 우선

이와 관련, 국가정보원은 올초 국가안보실, 디지털플랫폼정부위원회 등 관계부처들과 함께 망 분리 개선 태스크포스(TF)를 본격 가동했다. TF는 업계 간담회·워크숍 개최 등 다양한 의견수렴 과정을 거쳐 '다층보안체계(MLS) 전환 로드맵(안)'을 마련했다.

정부 계획에 따르면, MLS는 국가 전산망의 업무 중요도에 따라 기밀(Classified)·민감(Sensitive)·공개(Open) 등급으로 분류하고 보안 요구 사항을 다르게 적용한다.

보안이 요구되는 업무시스템인 경우 기존처럼 망 분리를 유지하고 최고 수준의 접근통제 정책을 시행하지만, 나머지 등급에 대해서는 소프트웨어(SW)를 이용해 논리적 망 분리를 시행하거나 보안 시스템 가동을 전제로 규제를 데이터를 풀어주는 방식이다.

예를 들어, 기밀 정보를 다루는 C등급은 물리적 망분리와 같은 높은 보안 수준을 요구하지만 상대적으로 민감도가 낮은 O등급은 퍼블릭 클라우드를 사용할 수 있게 된다. 이를 통해 보호해야 하는 정보에 대한 보안은 더욱 강화하고 활용 가치가 높은 정보는 과감히 공유할 수 있도록 한다.

국정원은 보안 최고 등급인 C등급 정보로 비밀·안보, 국방, 외교 수사 등 정보와 국민생활·생명·안전과 직결된 정보를 꼽았다. 아울러 S인 민감정보로는 비공개 정보, 개인·국가이익 침해가 가능한 정보를, O등급인 공개정보로는 상위 등급 정보 이외 모든 정보와 가명처리 등을 조치한 정보 등이라고 설명했다.

국정원 관계자는 "복수 등급 업무정보 저장시 최상위 등급으로 분류하게 된다"면서 "다만, 과도한 상위 등급 분류 방지를 위해 등급별 분리를 권고 한다"고 말했다.

다층보안체계는 올해까지 '국가 망보안정책 개선 TF'를 통한 각계 의견수렴·보완 이후 최종 확정해 내년부터 시행된다. 공공부문에 신속한 다층보안체계 확산을 위해 내년부터 디지털플랫폼정부위원회 주관으로 8개 추진과제를 시범사업으로 추진하고, 국정원은 보안통제 실효성 및 안정성을 검증할 계획이다.

공공 암호모듈 검증에 국제표준도 가능…2026년 1월부터 시행

국정원은 이날 주요 국가·공공기관에서 사용하는 암호모듈의 안전성을 검증하는 '공공 암호모듈 검증(KCMVP)'에 국내표준과 더불어 국제표준암호 AES(Advanced Encryption Standard) 활용도 허용하기로 했다고 밝혔다. 이를 통해 국내 표준뿐 아니라 국제표준을 따른 암호모듈도 공공기관에 납품할 수 있는 길도 열렸다.

국정원은 그간 암호모듈 검증에 국내에서 개발한 암호인 시드(SEED), 아리아(ARIA), 하이드(HIGHT) 리아(LEA)만 허용해왔다. 이는 지난 2005년 암호모듈 검증제도를 시행할 당시, 외국에서 개발한 암호에 대한 해독 우려에 따른 조치였다.

그러나 보안 환경의 변화로 인해 국제화와 범용성 증대를 위해 글로벌 표준을 허용해야 한다는 의견이 대두했다. 아울러 우리 기업들이 수출을 위해 제품에 AES를 탑재해야 하는 상황이 발생했다.

이에 따라 국정원은 경제적 효과와 산학연 전문가 의견 등을 고려해 암호모듈 검증제도에서 AES를 허용하는 방안을 검토해왔다. 이후 국정원은 지난 2022년 사물인터넷(IoT)·자율주행차량 등에 AES의 활용도가 점차 높아지자, 관련 연구용역을 진행했으며 AES 허용이 필요하다는 결론을 도출했다.

국정원은 검증위원회 심의를 거쳐 AES를 허용을 최종적으로 결정했다. 다만, 산업계와 시험기관의 준비기간을 고려해 2026년 1월부터 시행하기로 했다.

국정원은 AES를 허용함에 따라 국내 업체의 수출 경쟁력 강화와 더불어 개발 편의성이 증대할 것으로 기대하고 있다. 또 미국이 무역장벽보고서 등을 통해 AES 허용을 10년 이상 지속 요청해온 만큼 이번 조치를 통해 무역장벽 논란도 해소될 것으로 보고 있다.

국정원 측은 "특히 AES를 탑재한 외산 제품이 주요 공공분야에 도입되기 위해서는 해당 암호모듈이 안전하게 구현됐는지 국가정보원의 검증을 받아야 하므로 안보 측면의 우려도 없을 전망"이라고 강조했다.

◎공감언론 뉴시스 [email protected]