분산된 보안 거버넌스 한계...구식 규정 적용·CIO 권한 불명확 등 지적

[보안뉴스 김형근 기자] 미국 에너지부(DOE)가 2026 회계연도를 앞두고 인공지능(AI)과 사이버 보안 거버넌스 체계가 미비하다는 경고를 받았다.

에너지부 감찰관실(OIG)은 최근 배포한 ‘2026 회계연도 관리 과제 보고서’를 통해 부처 내 AI 및 사이버 보안을 관리할 전사적 프레임워크가 부족하다고 지적했다.


[자료: DOE]

보고서에 따르면, 에너지부는 진화하는 기술 환경에 발맞추기 위해 더 강력한 감독과 일관된 데이터 관행, 명확한 지휘 라인이 절실한 상태다.

특히 AI 분야에서 OIG는 에너지부와 산하 국가 연구소들이 AI를 개발하고 배치하는 방식을 반영한 포괄적 거버넌스 구축을 주문했다.

표준화된 기준과 모범 사례를 개발하고 잠재적 위험을 완화하는 조치가 뒷받침돼야만 효과적인 AI 구현이 가능하다는 판단이다.

이를 위해 OIG는 부처 전체를 아우르는 데이터 관리 시스템 구축을 제안했으며, 여기엔 카탈로그와 공유된 분류 체계를 포함해야 한다고 강조했다.

일관되고 정돈된 데이터가 뒷받침될 때 비로소 AI가 가장 정확한 통찰력을 제공하는 견고한 기반 역할을 할 수 있기 때문이라는 주장이다.

아울러 보고서는 사이버 보안 분야에서 중앙집중화되지 않은 현재의 거버넌스 구조로는 빠르게 진화하는 보안 위협과 정부 명령에 대응하는 능력을 수행할 수 없다고 진단했다. 권위 있는 데이터의 부족과 성능 지표 부재는 보안 감독의 실효성을 떨어뜨리는 주요 원인으로 지목됐다.

더욱 심각한 것은 일부 계약업체들이 최신 지침 대신 구식 규정에 따라 보안 환경을 운영하고 있다는 점이다. 현장에선 예산 부족과 최고정보책임자(CIO)와의 불분명한 권한 관계를 문제 삼으며 전사적 접근보다 로컬 단위의 임시 해결책에 의존하는 경향을 보이고 있다.

OIG는 “사이버 보안은 에너지부의 가장 높은 리스크 중 하나”라며 “국가 핵심 인프라를 보호하는 것은 부처의 독특한 임무 수행을 위해 필수적”이라고 강조했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>