안전한 클라우드 운영이 소버린 AI 경쟁력의 핵심... 보안과 혁신 균형점 찾아야
민간 소통 확대 및 구체적인 가이드라인 마련을 통해 미래 신기술 능동적 대응 촉구
[보안뉴스= 류재철 충남대학교 컴퓨터융합학부 교수] 미토스의 등장이 세계적으로 큰 화제가 되고 있다. 27년간 찾지 못했던 취약점을 탐지하고, 다양한 취약점을 연계해 공격 코드를 생성하는 것을 보면 AI 시대의 보안 문제가 무엇보다 중요해짐을 실감한다.
실제 미토스와 같은 AI 기반 공격 도구는 기존 숙련된 해커가 수개월에 걸쳐 수행하던 취약점 분석을 몇 시간 만에 처리해 방어 측의 대응 역량도 근본적으로 재편될 것을 요구하고 있다. AI 발전이 사회 곳곳에서 변화를 촉발하는 가운데, 사이버보안도 근본적인 변화가 필요한 시점이다.
[출처: gettyimagesbank]
최근 과학기술정보통신부와 국가정보원에서 공공 부문에 활용되는 민간 클라우드 보안인증 제도 개편안을 발표했다. 지금까지 한국인터넷진흥원을 중심으로 진행되던 CSAP(Cloud Security Assurance Program) 제도에 큰 변화가 기대된다. 단순히 클라우드 보안만이 아니라 국내 공공기관의 IT 플랫폼 운영체계가 AI 시대를 맞이해 새롭게 탈바꿈하는 것이다.
CSAP은 공공기관에서의 클라우드 사용 확대를 위해 과기정통부가 보안성 평가를 수행한 제도로, 국내 클라우드 산업의 촉진과 더불어 공공기관에서의 클라우드 사용 확대에 중요한 역할을 담당해 왔다. 지난 2016년 시작해 지금까지 약 200여건의 인증서가 발급됐고, 도입 사례는 2500여건에 이른다. 그러나 CSAP 인증을 취득해도 공공기관 도입을 위해 국정원의 클라우드 보안 검증을 별도로 받아야 하는 이중 부담이 문제로 꼽혔다.
이번 개편안에서는 이러한 2단계 인증 구조를 통합했다. 국정원의 클라우드 보안 검증을 통과하면 공공기관 도입에 별다른 장애가 없도록 절차를 간소화한 것이다. 민간 클라우드 기업 입장에서 인증 취득에 소요되는 시간과 비용을 크게 줄여줌으로, 보다 다양한 사업자들이 공공시장에 진입할 수 있는 발판이 될 것으로 기대된다.
이를 통해 AI 활용의 활성화와 더불어 N2SF(National Network Security Framework), 제로트러스트 등 새로운 보안 솔루션의 보급도 촉진될 것으로 예상된다. 즉, 온프레미스 컴퓨팅 환경에서 보다 안전한 보안 기술이 적용된 클라우드 컴퓨팅 환경으로 국내 IT 플랫폼의 대전환이 본격적으로 시작된 것이다.
특히 제로트러스트 아키텍쳐는 기존 경계 기반 보안 모델을 탈피해 모든 접근을 지속적으로 검증하는 방식으로, 내부자 위협과 공급망 공격이 증가하는 환경에서 그 중요성이 더욱 부각되고 있다.
이러한 대전환이 성공적으로 진행되기 위한 고려사항은 다음과 같다.
첫째, 국가정보원의 적극적인 소통 확대
지금까지 국가정보원은 보안제품 평가를 위해 사이버보안 분야의 민간기업 중심으로 소통해 왔다. 그러나 클라우드 보안인증은 더 다양한 민간기업과 폭넓은 교류가 필요하다. 새로운 기술에 대한 수용성과 더불어, 보안 개념에 익숙하지 않은 민간기업들과 원할하게 소통하는 능력은 무엇보다 중요하다.
이를 위해 경직된 조직 문화에서 벗어나 신속하고 적극적인 업무 처리가 가능하게 내부 규정과 절차의 유연화가 필요할 수도 있다. 아울러 민간 전문가와 정기적인 협업 채널을 제도화해 현장의 기술 정책에 빠르게 반영하는 구조를 갖추는 것도 중요한 과제다.
둘째, 공공기관 도입 기준의 명확화
공공기관에서 AI 수요가 증가하고 있지만, 아직 도입 기준이 모호한 부분이 적지않다. LLM 서비스의 경우 어떤 조건을 충족해야 도입할 수 있는지를 비롯해, AI 보안 필터링 시스템과 에이전트 AI 등 다양한 AI 융합 기술에 대한 도입 기준을 구체적이고 명확하게 제시할 필요가 있다.
또, N2SF 보안 등급제에 따른 도입 기준의 합리성 확보도 중요한 이슈로 부상하고 있다. 고등급 보안 환경에서의 AI 활동이 과도하게 제한될 경우, 공공 서비스의 혁신 속도가 민간보다 현저히 뒤처지는 결과를 초래할 수 있어 균형 잡힌 기준 마련이 절실하다.
셋째, 미래 신기술에 대한 대응 능력 확보
AI뿐만 아니라 다양한 신기술들이 하루가 다르게 등장하고 있어, 이에 대한 능동적 대응이 절실해지고 있다. 보완성과 편리함을 동시에 충족하기 어려운 경우, 지금까지는 보안성에 무게를 두는 것이 원칙이었다. 그러나 앞으로 신기술이 가져올 편리함과 혁신성에도 신경을 써야 세계 시장에서 뒤처지지 않을 수 있다. 이를 위해 무엇보다 인재 확보를 통한 선제적 기술 준비가 필수적이다. 아울러 해외 주요국의 클라우드·AI 보안 정책 동향을 상시 모니터링하고, 국제 표준과 정합성을 높여 나가는 노력도 병행돼야 할 것이다.
최근 스페이스X는 저궤도 위성 100만기 발사 허가를 신청해 세계를 놀라게 했다. AI와 클라우드 수요 급증으로 인한 지상 데이터센터의 전력 부족과 냉각 문제를 우주에서 해결하겠다는 구상이다. 우주 태양광 기반 전력 공급과 복사 냉각, 레이저 통신 기술을 결합한 우주 데이터센터 시대가 머지않아 열릴 것으로 전망된다.
▲류재철 충남대 교수 [출처: 류재철 교수]
피지컬 AI로 무장한 로봇들이 위성 AI가 제공하는 실시간 정보를 바탕으로 전장을 누비는 공상과학 속 미래가 현실로 다가오고 있다. 이처럼 컴퓨팅 인프라의 무대 자체가 지상을 넘어 우주로 확장되는 시대에, 보안의 개념과 범위 역시 함께 진화해야 한다는 점을 간과해서는 안 된다.
이러한 AI 서비스의 80%는 클라우드상에서 이뤄지고 있다. 즉, 클라우드의 안전한 운영 능력은 AI 서비스 경쟁력의 핵심 기반이기도 하다. 국내에서 소버린 AI 구축 사업이 대대적으로 추진되고 있는 가운데, 이 사업이 실질적인 성과를 거두기 위해 클라우드의 안전하고 신뢰할 수 있는 운영 능력이 선결 조건이다.
이번 클라우드 보안인증 제도 개편이 단순한 행정 절차 간소화에 그치지 않고, AI 3대 강국이라는 목표 달성의 든든한 초석이 되기를 기대한다.
[글_류재철 충남대학교 컴퓨터융합학부 교수]
필자소개
-충남대학교 컴퓨터융합학부 교수
-한국인터넷진흥원 비상임이사, 금융보안원 ISMS-P 인증위원회 위원
민간 소통 확대 및 구체적인 가이드라인 마련을 통해 미래 신기술 능동적 대응 촉구
[보안뉴스= 류재철 충남대학교 컴퓨터융합학부 교수] 미토스의 등장이 세계적으로 큰 화제가 되고 있다. 27년간 찾지 못했던 취약점을 탐지하고, 다양한 취약점을 연계해 공격 코드를 생성하는 것을 보면 AI 시대의 보안 문제가 무엇보다 중요해짐을 실감한다.
실제 미토스와 같은 AI 기반 공격 도구는 기존 숙련된 해커가 수개월에 걸쳐 수행하던 취약점 분석을 몇 시간 만에 처리해 방어 측의 대응 역량도 근본적으로 재편될 것을 요구하고 있다. AI 발전이 사회 곳곳에서 변화를 촉발하는 가운데, 사이버보안도 근본적인 변화가 필요한 시점이다.
[출처: gettyimagesbank]
최근 과학기술정보통신부와 국가정보원에서 공공 부문에 활용되는 민간 클라우드 보안인증 제도 개편안을 발표했다. 지금까지 한국인터넷진흥원을 중심으로 진행되던 CSAP(Cloud Security Assurance Program) 제도에 큰 변화가 기대된다. 단순히 클라우드 보안만이 아니라 국내 공공기관의 IT 플랫폼 운영체계가 AI 시대를 맞이해 새롭게 탈바꿈하는 것이다.
CSAP은 공공기관에서의 클라우드 사용 확대를 위해 과기정통부가 보안성 평가를 수행한 제도로, 국내 클라우드 산업의 촉진과 더불어 공공기관에서의 클라우드 사용 확대에 중요한 역할을 담당해 왔다. 지난 2016년 시작해 지금까지 약 200여건의 인증서가 발급됐고, 도입 사례는 2500여건에 이른다. 그러나 CSAP 인증을 취득해도 공공기관 도입을 위해 국정원의 클라우드 보안 검증을 별도로 받아야 하는 이중 부담이 문제로 꼽혔다.
이번 개편안에서는 이러한 2단계 인증 구조를 통합했다. 국정원의 클라우드 보안 검증을 통과하면 공공기관 도입에 별다른 장애가 없도록 절차를 간소화한 것이다. 민간 클라우드 기업 입장에서 인증 취득에 소요되는 시간과 비용을 크게 줄여줌으로, 보다 다양한 사업자들이 공공시장에 진입할 수 있는 발판이 될 것으로 기대된다.
이를 통해 AI 활용의 활성화와 더불어 N2SF(National Network Security Framework), 제로트러스트 등 새로운 보안 솔루션의 보급도 촉진될 것으로 예상된다. 즉, 온프레미스 컴퓨팅 환경에서 보다 안전한 보안 기술이 적용된 클라우드 컴퓨팅 환경으로 국내 IT 플랫폼의 대전환이 본격적으로 시작된 것이다.
특히 제로트러스트 아키텍쳐는 기존 경계 기반 보안 모델을 탈피해 모든 접근을 지속적으로 검증하는 방식으로, 내부자 위협과 공급망 공격이 증가하는 환경에서 그 중요성이 더욱 부각되고 있다.
이러한 대전환이 성공적으로 진행되기 위한 고려사항은 다음과 같다.
첫째, 국가정보원의 적극적인 소통 확대
지금까지 국가정보원은 보안제품 평가를 위해 사이버보안 분야의 민간기업 중심으로 소통해 왔다. 그러나 클라우드 보안인증은 더 다양한 민간기업과 폭넓은 교류가 필요하다. 새로운 기술에 대한 수용성과 더불어, 보안 개념에 익숙하지 않은 민간기업들과 원할하게 소통하는 능력은 무엇보다 중요하다.
이를 위해 경직된 조직 문화에서 벗어나 신속하고 적극적인 업무 처리가 가능하게 내부 규정과 절차의 유연화가 필요할 수도 있다. 아울러 민간 전문가와 정기적인 협업 채널을 제도화해 현장의 기술 정책에 빠르게 반영하는 구조를 갖추는 것도 중요한 과제다.
둘째, 공공기관 도입 기준의 명확화
공공기관에서 AI 수요가 증가하고 있지만, 아직 도입 기준이 모호한 부분이 적지않다. LLM 서비스의 경우 어떤 조건을 충족해야 도입할 수 있는지를 비롯해, AI 보안 필터링 시스템과 에이전트 AI 등 다양한 AI 융합 기술에 대한 도입 기준을 구체적이고 명확하게 제시할 필요가 있다.
또, N2SF 보안 등급제에 따른 도입 기준의 합리성 확보도 중요한 이슈로 부상하고 있다. 고등급 보안 환경에서의 AI 활동이 과도하게 제한될 경우, 공공 서비스의 혁신 속도가 민간보다 현저히 뒤처지는 결과를 초래할 수 있어 균형 잡힌 기준 마련이 절실하다.
셋째, 미래 신기술에 대한 대응 능력 확보
AI뿐만 아니라 다양한 신기술들이 하루가 다르게 등장하고 있어, 이에 대한 능동적 대응이 절실해지고 있다. 보완성과 편리함을 동시에 충족하기 어려운 경우, 지금까지는 보안성에 무게를 두는 것이 원칙이었다. 그러나 앞으로 신기술이 가져올 편리함과 혁신성에도 신경을 써야 세계 시장에서 뒤처지지 않을 수 있다. 이를 위해 무엇보다 인재 확보를 통한 선제적 기술 준비가 필수적이다. 아울러 해외 주요국의 클라우드·AI 보안 정책 동향을 상시 모니터링하고, 국제 표준과 정합성을 높여 나가는 노력도 병행돼야 할 것이다.
최근 스페이스X는 저궤도 위성 100만기 발사 허가를 신청해 세계를 놀라게 했다. AI와 클라우드 수요 급증으로 인한 지상 데이터센터의 전력 부족과 냉각 문제를 우주에서 해결하겠다는 구상이다. 우주 태양광 기반 전력 공급과 복사 냉각, 레이저 통신 기술을 결합한 우주 데이터센터 시대가 머지않아 열릴 것으로 전망된다.
▲류재철 충남대 교수 [출처: 류재철 교수]
피지컬 AI로 무장한 로봇들이 위성 AI가 제공하는 실시간 정보를 바탕으로 전장을 누비는 공상과학 속 미래가 현실로 다가오고 있다. 이처럼 컴퓨팅 인프라의 무대 자체가 지상을 넘어 우주로 확장되는 시대에, 보안의 개념과 범위 역시 함께 진화해야 한다는 점을 간과해서는 안 된다.
이러한 AI 서비스의 80%는 클라우드상에서 이뤄지고 있다. 즉, 클라우드의 안전한 운영 능력은 AI 서비스 경쟁력의 핵심 기반이기도 하다. 국내에서 소버린 AI 구축 사업이 대대적으로 추진되고 있는 가운데, 이 사업이 실질적인 성과를 거두기 위해 클라우드의 안전하고 신뢰할 수 있는 운영 능력이 선결 조건이다.
이번 클라우드 보안인증 제도 개편이 단순한 행정 절차 간소화에 그치지 않고, AI 3대 강국이라는 목표 달성의 든든한 초석이 되기를 기대한다.
[글_류재철 충남대학교 컴퓨터융합학부 교수]
필자소개
-충남대학교 컴퓨터융합학부 교수
-한국인터넷진흥원 비상임이사, 금융보안원 ISMS-P 인증위원회 위원
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
