AI 시대, 보안은 ‘브레이크’ 아니라 ‘조향 장치’

[연재목차 Part 2. AI 시대 보안 패러다임]
1. AI 시대의 그림자, ‘딥페이크 사기’를 경계하라
2. AI 시대, 번아웃 관리
3. AI 편향과 공정성, 보안에서 무엇이 다른가
4. 설명가능 AI와 인간의 최종 판단
5. AI도 인간과 닮았다
6. AI, ‘안전’과 ‘보안’의 경계를 허물다
7. AI 도입의 딜레마_기회와 위험 사이
8. AI 위험에 대한 2개의 거버넌스
9. 챗봇을 넘어, ‘행동하는 AI’를 통제할 시간
10. AI 시대의 생존 방정식, ‘실행형’ 보안 거버넌스
11. AI 보안의 새로운 지평_AI-SPM
12. AI 시스템 새로운 위험분석_STPA
13. 에이전트 AI 시대_인간 중심 통제 설계
14. AI와 인간의 동맹_협업모델
15. AI, 보안문화를 재정의하다

[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 오늘날 기업 경영에서 AI는 더 이상 선택 가능한 옵션이 아닌, 생존을 위한 필수 조건이 되었습니다. 그러나 파운데이션 모델을 직접 개발하는 소수의 빅테크 기업을 제외한 대다수 조직은 심각한 딜레마에 빠져 있습니다. “검증된 AI로 비즈니스 혁신을 앞당겨야 하지만, 데이터 유출이나 통제 불능의 사고가 두렵다”는 것입니다.

이 거대한 파도 속에서 조직의 성장을 지키는 힘은 두꺼운 보안 규정집에서 나오지 않습니다. 외부 기술을 안전하게 수용하고 비즈니스 전장에서 승리하기 위한 구체적인 작전 계획, 즉 ‘실행형 AI 보안 거버넌스’가 그 해답입니다. 거버넌스는 단순한 통제(Control)가 아닙니다. 혁신의 속도를 늦추지 않으면서 리스크를 관리 가능한 수준으로 유지하는, 기업의 ‘조향 장치’(Steering Gear)여야 합니다.


[출처: AI Generated by Kim, Jungduk]

전선을 명확히 하라: AI 보안 거버넌스의 3대 영역
성공적인 거버넌스를 위해 경영진은 다음 세 가지 전선(Fronts)에서 우리 조직의 방어 태세가 견고한지 점검해야 합니다.

첫째, ‘공급망 리스크와 데이터 자산의 보호’입니다. 외부 거대 언어 모델 도입 시, 모델 자체의 블랙박스 문제를 우리가 통제할 수는 없습니다. 따라서 초점은 ‘입출력 데이터의 통제’로 이동해야 합니다. 우리 기업의 민감 데이터가 학습 데이터로 흘러 들어가지 않도록 차단하고, AI가 내놓는 결과물의 편향성을 필터링하는 파이프라인이 구축되어 있는지 확인하십시오.

둘째, ‘내부 활용의 가시성’ 확보입니다. 임직원들이 회사의 승인 없이 사용하는 ‘섀도우 AI(Shadow AI)’는 가장 큰 구멍입니다. 무조건적인 차단은 능사가 아닙니다. 안전한 샌드박스 환경을 제공하여 음지의 사용을 양지로 끌어올리고, 프롬프트 인젝션(Prompt Injection)과 같은 새로운 공격 기법에 대비한 교육을 실행해야 합니다.

셋째, ‘규제 준수(Compliance)’의 선제적 대응입니다. EU의 AI 법(AI Act)은 물론, 제정을 앞둔 국내 ‘AI 기본법’의 움직임은 이제 단순한 권고가 아닌 기업의 생존 조건입니다. 우리 조직의 AI 활용이 윤리적 기준과 법적 요구사항을 충족하는지 상시 모니터링하는 체계가 필요합니다.

누가 무엇을 책임지는가: 거버넌스의 ‘삼각 편대’
아무리 좋은 전략도 실행 주체가 모호하면 무용지물입니다. AI 거버넌스는 다음 세 주체의 명확한 역할 분담(R&R) 위에서 작동합니다.

이사회와 CEO(The Sponsor): 단순히 예산을 승인하는 것을 넘어, ‘AI 보안 문화’를 조성하는 구심점이 되어야 합니다. “보안 사고는 기술적 결함이 아니라 경영 리스크”라는 인식을 전사적으로 천명하십시오.

CISO와 보안 조직(The Controller): AI 기술의 특수성을 이해하고, 이를 통제할 수 있는 ‘기술적 권한’ 을 가져야 합니다. 동시에 현업의 속도를 저해하지 않는 유연한 가이드라인을 제시하는 조력자가 되어야 합니다.

현업 부서장(Business Owner): 가장 중요한 변화는 여기에 있습니다. AI를 활용해 성과(Benefit)를 창출하는 주체인 현업 부서장이, 그에 따른 리스크(Risk)의 최종 소유권 또한 가져야 합니다. “보안은 보안팀 책임”이라는 낡은 생각으로는 AI 리스크를 감당할 수 없습니다.

실행 전략: 통합하고 단계적으로 완성하라
이 체계를 안착시키기 위해 가장 현실적인 조직 모델은 ‘하이브리드형 지휘 체계’입니다. 전사 정보보호 거버넌스가 리스크 총괄 책임을 맡되, 그 산하에 AI 기술을 깊이 이해하는 ‘AI 보안 전문가 그룹’을 배치하여 전문성과 민첩성을 동시에 확보하십시오.

마지막으로, 조직의 준비 상태에 맞춰 다음의 성숙도 모델을 적용할 수 있습니다. 우선 1단계 ‘기반 조성(Foundation)’에서는 섀도우 AI 현황을 파악하고 기초 가이드라인을 배포하여 가시성을 확보하는데 집중합니다.

이어 2단계 ‘체계 확립(Establishment)’에서는 거버넌스 위원회를 발족하고 NIST 등 글로벌 표준을 도입하여 관리 프로세스를 표준화해야 합니다.

궁극적으로 3단계 ‘혁신 가속(Acceleration)’에서는 보안 검증을 개발 파이프라인(LLM Ops)에 내재화함으로써 보안이 비즈니스 속도를 높이는 ‘가속 페달’이 되게 해야 합니다.

보안, 통제를 넘어 혁신의 러닝메이트로

▲김정덕 중앙대 명예교수 [출처: 김정덕 교수]
결국 AI 보안 거버넌스는 단순한 비용이 아닌, 미래를 위한 가장 확실한 투자입니다. 많은 경영자들이 보안을 ‘속도를 늦추는 브레이크’로 오해하지만, 고성능 스포츠카일수록 강력한 브레이크가 있어야 최고 속도로 달릴 수 있습니다. AI라는 강력한 엔진을 장착한 기업에게 보안 거버넌스는 바로 이 ‘안전한 고속 주행’을 가능케 하는 핵심 장치입니다.

이제 보안은 뒤에서 감시하는 통제자가 아니라, 비즈니스의 최전선에서 함께 뛰는 든든한 ‘러닝메이트’가 되어야 합니다. 견고한 거버넌스 체계와 명확한 책임 구조를 갖춘 기업만이 ‘신뢰(Trust)’라는 무형의 자산을 확보하고, 진정한 의미의 지속 가능한 성장을 이뤄낼 수 있을 것입니다. 지금이 바로 경영진이 보안을 기술의 영역에서 경영의 중심으로 끌어올려야 할 골든 타임입니다.

[글_ 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]

필자 소개_ 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>