[3줄 요약]
1. “소버린 AI 본질은 통제와 책임... ‘소버린 보안’ 중요”
2. 파편화된 AI 보안 정책 극복 ‘통합 프레임워크’ 설계 추진
3. “뚫려도 신속히 회복하는 나라가 AI 강국”
[보안뉴스 강현주 기자] “소버린 AI를 ‘국내 제작 모델’로만 본다면 절반만 이해한 것입니다. 본질은 기술보다 통제와 책임이며, 통제권 없는 AI는 자산이 아닌 리스크입니다. 결국 소버린 AI의 전제는 ‘소버린 시큐리티’입니다.”
대한민국 AI 3대 강국 도약을 위한 컨트롤타워인 국가AI전략위원회에서 보안TF를 이끌고 있는 이원태 국민대학교 특임교수는 ‘소버린 AI’ 개념을 이 같이 제시했다.
▲이원태 국가AI전략위 보안TF 리더가 보안뉴스와 인터뷰를 하고 있다. [출처: 보안뉴스]
통제권 없는 AI는 공격자 먹이... ‘소버린 시큐리티’ 중요
소버린 AI란 국내에서 만든 모델이나 국산 기술이라는 단순한 통념을 넘어, ‘통제 주권’의 문제라는 얘기다. 즉 데이터가 어디에 존재하고, 누가 접근 권한을 가지며, 사고가 터졌을 때 통제권 주체가 명확한지 문제며, 이는 곧 보안과 직결된다는 설명이다.
이 교수는 “가령 AI 모델은 국내에서 개발됐지만, 학습 데이터와 운영 인프라가 해외 클라우드에 있고, 침해 사고가 발생했을 때 조사·차단·공개 권한이 불분명한 구조에선 AI 경쟁력이 높아질수록 리스크도 커진다”며 “AI가 핵심 인프라가 되는 시대에 통제권 없는 AI는 국가 성장의 자산이 아니라 잠재적 취약점이며 공격자들의 먹이감이 된다”고 말했다.
그는 “그래서 소버린 시큐리티가 중요하다”며 “보안 관점에서 소버린 AI는 국산 여부가 아니라 위험을 스스로 인지하고, 차단하고, 복구할 수 있는 능력의 문제”라고 밝혔다. 이어 “AI 3강이 되겠다는 것은 세계 최고 수준의 모델을 갖겠다는 선언이 아니라, 세계 최고 수준의 통제과 복원력, 책임 구조를 갖추겠다는 선언이어야 한다”고 강조했다.
AI 3강으로 도약하기 위해서는 강건하고 튼튼한 AI 보안·AI 안전 기반이 전제 조건이다. 대규모 AI 시스템은 필연적으로 공격의 표적이 되며, 데이터 유출과 모델 탈취, 프롬프트 조작, 에이전트 오남용 같은 위협이 상시화된다. 이를 감당할 수 있는 보안 체력 없이는 AI 경쟁도 지속될 수 없다고 그는 강조한다.
이 교수는 “AI는 엔진이고, 보안은 브레이크이자 조향장치다. 이 둘이 처음부터 함께 설계되지 않으면, 속도는 곧 위험이 된다”며 ‘보안 내재화’(Secure by Design) 기반 AI 전환의 중요성을 내세웠다.
소버린 AI 강국 도약을 위한 전제인 ‘소버린 시큐리티’를 위해 보안TF는 △국가·기업 차원의 IT 자산 식별 체계 확립 △화이트해커와 민간 연구자를 활용한 선제적 취약점 발굴· 신고·조치·공개 제도(CVD·VDP) 도입 등을 추진 중이다.
“민관 아우르는 ‘통합 프레임워크’ 설계하겠다”
이 교수는 “민관을 아우르는 보안 협력을 적극 추진할 방침”이라고 강조했다.
이 교수에 따르면, 보안TF는 부처별로 파편화된 AI 보안과 안전 정책의 한계를 극복하기 위해 단기적으로는 공동 대응 체계를 강화할 방침이다. 중장기적으로는 이를 아우르는 통합 프레임워크를 설계할 계획이다.
이 교수는 특히 영국의 최근 사례를 인상깊게 새겼다. 영국은 국민보건서비스(NHS) 랜섬웨어 마비로 병원이 마비되는 사태 등을 겪으며 ‘파편화된 보안 체계’의 실패를 인정하고 국가 보안 체계를 쇄신했다.
그는 “영국은 분산된 거버넌스의 한계를 인정하고 과학혁신기술부(DSIT) 산하에 ‘정부 사이버 부서’(GCU)를 신설해 부처별로 흩어져 있던 위험 관리와 사고 대응을 중앙 집중형 총괄 체계로 전환했다”며 “GCU는 정부 최고정보보호책임자(GCISO) 체계 아래 국가사이버보안센터(NCSC)와 정부 사이버 조정 센터를 운영해 범정부·민관 합동 대응의 허브 역할을 수행한다”고 설명했다.
새로운 규제를 만드는 것이 아니라, 기술 속도에 맞춰 민관이 함께 작동할 수 있도록 책임과 대응의 경계를 명확히 하는 과정이라는 설명이다. 정부의 제도적 틀과 민간의 현장 역량이 결합할 때 비로소 실질적 보안이 완성된다는 것이 보안TF의 핵심 방향이다. 특히 화려한 AI 보안 이전에 기초 체력을 키우는 보안, 기본이 작동하는 구조를 만들 방침이다.
이 교수는 “2026년의 한국은 ‘뚫리지 않는 나라’가 아닌 ‘뚫려도 사회적 기능이 마비되지 않고 신속히 회복하는 나라’가 되어야 한다”며 “그런 신뢰 구조를 갖출 때 비로소 우리는 진정한 AI 강국이라 불릴 자격을 얻게 된다”고 말했다.
하루가 멀다하고 줄줄이 터지는 사고, 이제는 해킹이 일상화된 ‘해킹 뉴노멀’이다. 기업도 정부도 언제 누가 타깃이 될지 모른다. <보안뉴스>는 이제 해킹을 ‘뉴노멀’로 받아들이고 바뀐 시대에 맞는 보안 패러다임을 이끌어갈 리더들을 차례로 만나보는 인터뷰 시리즈 ‘해킹 뉴노멀’을 연재한다. [편집자주]
[강현주 기자(jjoo@boannews.com)]
1. “소버린 AI 본질은 통제와 책임... ‘소버린 보안’ 중요”
2. 파편화된 AI 보안 정책 극복 ‘통합 프레임워크’ 설계 추진
3. “뚫려도 신속히 회복하는 나라가 AI 강국”
[보안뉴스 강현주 기자] “소버린 AI를 ‘국내 제작 모델’로만 본다면 절반만 이해한 것입니다. 본질은 기술보다 통제와 책임이며, 통제권 없는 AI는 자산이 아닌 리스크입니다. 결국 소버린 AI의 전제는 ‘소버린 시큐리티’입니다.”
대한민국 AI 3대 강국 도약을 위한 컨트롤타워인 국가AI전략위원회에서 보안TF를 이끌고 있는 이원태 국민대학교 특임교수는 ‘소버린 AI’ 개념을 이 같이 제시했다.
▲이원태 국가AI전략위 보안TF 리더가 보안뉴스와 인터뷰를 하고 있다. [출처: 보안뉴스]
통제권 없는 AI는 공격자 먹이... ‘소버린 시큐리티’ 중요
소버린 AI란 국내에서 만든 모델이나 국산 기술이라는 단순한 통념을 넘어, ‘통제 주권’의 문제라는 얘기다. 즉 데이터가 어디에 존재하고, 누가 접근 권한을 가지며, 사고가 터졌을 때 통제권 주체가 명확한지 문제며, 이는 곧 보안과 직결된다는 설명이다.
이 교수는 “가령 AI 모델은 국내에서 개발됐지만, 학습 데이터와 운영 인프라가 해외 클라우드에 있고, 침해 사고가 발생했을 때 조사·차단·공개 권한이 불분명한 구조에선 AI 경쟁력이 높아질수록 리스크도 커진다”며 “AI가 핵심 인프라가 되는 시대에 통제권 없는 AI는 국가 성장의 자산이 아니라 잠재적 취약점이며 공격자들의 먹이감이 된다”고 말했다.
그는 “그래서 소버린 시큐리티가 중요하다”며 “보안 관점에서 소버린 AI는 국산 여부가 아니라 위험을 스스로 인지하고, 차단하고, 복구할 수 있는 능력의 문제”라고 밝혔다. 이어 “AI 3강이 되겠다는 것은 세계 최고 수준의 모델을 갖겠다는 선언이 아니라, 세계 최고 수준의 통제과 복원력, 책임 구조를 갖추겠다는 선언이어야 한다”고 강조했다.
AI 3강으로 도약하기 위해서는 강건하고 튼튼한 AI 보안·AI 안전 기반이 전제 조건이다. 대규모 AI 시스템은 필연적으로 공격의 표적이 되며, 데이터 유출과 모델 탈취, 프롬프트 조작, 에이전트 오남용 같은 위협이 상시화된다. 이를 감당할 수 있는 보안 체력 없이는 AI 경쟁도 지속될 수 없다고 그는 강조한다.
이 교수는 “AI는 엔진이고, 보안은 브레이크이자 조향장치다. 이 둘이 처음부터 함께 설계되지 않으면, 속도는 곧 위험이 된다”며 ‘보안 내재화’(Secure by Design) 기반 AI 전환의 중요성을 내세웠다.
소버린 AI 강국 도약을 위한 전제인 ‘소버린 시큐리티’를 위해 보안TF는 △국가·기업 차원의 IT 자산 식별 체계 확립 △화이트해커와 민간 연구자를 활용한 선제적 취약점 발굴· 신고·조치·공개 제도(CVD·VDP) 도입 등을 추진 중이다.
“민관 아우르는 ‘통합 프레임워크’ 설계하겠다”
이 교수는 “민관을 아우르는 보안 협력을 적극 추진할 방침”이라고 강조했다.
이 교수에 따르면, 보안TF는 부처별로 파편화된 AI 보안과 안전 정책의 한계를 극복하기 위해 단기적으로는 공동 대응 체계를 강화할 방침이다. 중장기적으로는 이를 아우르는 통합 프레임워크를 설계할 계획이다.
이 교수는 특히 영국의 최근 사례를 인상깊게 새겼다. 영국은 국민보건서비스(NHS) 랜섬웨어 마비로 병원이 마비되는 사태 등을 겪으며 ‘파편화된 보안 체계’의 실패를 인정하고 국가 보안 체계를 쇄신했다.
그는 “영국은 분산된 거버넌스의 한계를 인정하고 과학혁신기술부(DSIT) 산하에 ‘정부 사이버 부서’(GCU)를 신설해 부처별로 흩어져 있던 위험 관리와 사고 대응을 중앙 집중형 총괄 체계로 전환했다”며 “GCU는 정부 최고정보보호책임자(GCISO) 체계 아래 국가사이버보안센터(NCSC)와 정부 사이버 조정 센터를 운영해 범정부·민관 합동 대응의 허브 역할을 수행한다”고 설명했다.
새로운 규제를 만드는 것이 아니라, 기술 속도에 맞춰 민관이 함께 작동할 수 있도록 책임과 대응의 경계를 명확히 하는 과정이라는 설명이다. 정부의 제도적 틀과 민간의 현장 역량이 결합할 때 비로소 실질적 보안이 완성된다는 것이 보안TF의 핵심 방향이다. 특히 화려한 AI 보안 이전에 기초 체력을 키우는 보안, 기본이 작동하는 구조를 만들 방침이다.
이 교수는 “2026년의 한국은 ‘뚫리지 않는 나라’가 아닌 ‘뚫려도 사회적 기능이 마비되지 않고 신속히 회복하는 나라’가 되어야 한다”며 “그런 신뢰 구조를 갖출 때 비로소 우리는 진정한 AI 강국이라 불릴 자격을 얻게 된다”고 말했다.
하루가 멀다하고 줄줄이 터지는 사고, 이제는 해킹이 일상화된 ‘해킹 뉴노멀’이다. 기업도 정부도 언제 누가 타깃이 될지 모른다. <보안뉴스>는 이제 해킹을 ‘뉴노멀’로 받아들이고 바뀐 시대에 맞는 보안 패러다임을 이끌어갈 리더들을 차례로 만나보는 인터뷰 시리즈 ‘해킹 뉴노멀’을 연재한다. [편집자주]
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.JPG)
.png){kind=spacer}
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
