정부, AI 개발·이용 위한 '제로 트러스트' 보안 개발 착수

ⓒ게티이미지뱅크

정부가 인공지능(AI) 개발·이용 시 보안 강화를 위해 맞춤 제로 트러스트 보안 개발에 나섰다. AI 관련 환경에 제로 트러스트 성숙도 모델을 적용해 AI발 사이버 보안 위협에 선제적 대응력 확보하겠단 취지다.

한국인터넷진흥원(KISA)은 최근 'AI 개발 및 이용 환경 보안 강화를 위한 제로 트러스트 성숙도 모델 연구' 용역을 진행한다고 밝혔다.

제로 트러스트는 '아무것도 신뢰하지 말고 계속 검증하라'는 보안 개념이다. 기존의 경계 기반 보안 체계는 공격자가 내부 접속 권한을 획득하면 내부망을 휘젓고 다닐 수 있다는 한계가 있었다. 반면 제로 트러스트 보안은 내부 침입을 가정해 모든 연결을 의심하고 지속적으로 검증해 보안성을 높인다.

이번 연구 용역은 국내외 AI 보안 정책과 국내 기업의 AI 이용 환경을 분석해 국내 AI 환경에 맞는 제로 트러스트 성숙도 모델을 마련하는 게 핵심이다.

미국 국립표준기술연구소(NIST)는 AI 위험관리프레임워크(RMF)를 마련했으며 유럽연합(EU) 역시 AI법을 제정하는 등 AI 보안 정책에 드라이브를 걸고 있다.

한국도 내년 1월 AI기본법을 시행할 예정이며 제로 트러스트 가이드라인, 국가망보안체계(N2SF) 가이드라인 등을 통해 AI 등 정보기술(IT) 신기술 등장과 발맞춰 보안 역량을 높이는 데 주력하고 있다.

이같은 국내외 AI 보안 정책 동향에 더해 에이전트 AI·피지컬 AI·온디바이스 AI 등 국내 기업의 AI 이용 현황과 네트워크 전 구간에서 발생 가능한 보안 위협을 파악해 맞춤형 제로 트러스트 성숙도 모델을 개발한다. 이 때 인증체계 강화, 마이크로 세크멘테이션(초세분화), 소프트웨어 정의 경계(SDP) 등 제로 트러스트 원칙과 핵심요소, 성숙도 수준을 AI 환경에 맞게 재정의한다.

나아가 AI 위험 관리를 위한 제로 트러스트 원칙, AI 활용 업무 환경의 핵심요소, AI를 위한 제로 트러스트 보안 구현 등을 정립한 가이드라인도 내놓을 계획이다.

정부 부처도 AI 관련 보안 강화를 위해 바삐 움직이고 있다. 과학기술정보통신부와 국가정보원은 지난 10일 각각 AI 보안 가이드라인을 내놨다. 과기정통부는 기업·국민을, 국정원은 공공기관이 AI를 안전하게 활용할 수 있도록 돕기 위해 가이드라인을 마련했다.

정보보호산업계 관계자는 “제품 설계 단계부터 개인정보 보호를 고려해야 한다는 '개인정보보호 중심 설계'(Privacy by Design)와 마찬가지로 AI 서비스 역시 '보안 중심 설계'(Security by Design)가 중요하다”면서 “정보보호 없는 AI는 사상누각인 만큼 AI 생태계 전반에 걸쳐 보안을 내재화해야 한다”고 말했다.

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]