공공 분야에서 챗GPT와 같은 생성형 인공지능(AI)과 클라우드를 활용하려면, 사전에 승인받은 지정 단말을 사용하고 기관 전산망 내 인증·통제 서버를 이용해 단말·사용자 인증을 거친 뒤 보안요소 통제가 이뤄져야 한다.
17일 정보보호산업계에 따르면, '정보서비스 모델 해설서'엔 업무환경에서 생성형 AI 활용, 외부 클라우드 활용 업무협업 체계, 공공 데이터의 외부 AI 융합 등 8개 모델에 대한 보안 요구사항과 보안대책이 담겼다.
앞서 국가정보원은 지난 1월 23일 국가사이버안보센터 홈페이지를 통해 국가망보안체계(N²SF) 가이드라인과 함께 보안통제 항목 해설서(부록1)만 공개하고, 보안 문제 등 이유로 각 기관에 배포한 정보서비스 모델 해설서(부록2) 공개는 제한한 바 있다.
N²SF는 공공 분야에서도 AI·클라우드 등 정보기술(IT) 신기술을 활용할 수 있도록 길을 열어주는 동시에 보안성을 유지·강화하는 게 핵심이다. 20년 가까지 유지한 망분리 정책 기조에서 크게 전환하는 정책으로, 국정원은 실례를 통해 정부·공공기관의 제도 이해도를 높이기 위해 정보서비스 모델 해설서를 별도로 마련했다. 전체 정보시스템을 단박에 N²SF로 전환하는 것은 사실상 불가능하기에 기관이 필요한 정보서비스부터 순차 도입하도록 돕겠다는 게 국정원 측의 복안이다.
해설서는 업무 단말에서 국내외 생성형 AI 서비스에 접속해 업무 활용도를 높이는 데 필요한 보안 요구사항과 대책을 제시했다. 먼저 단말은 기관 전산망 내 존재하는 인증·통제 서버를 통해 AI 서비스 활용을 사전에 승인받은 후 보안 조치를 마쳐야 한다. 또 AI 서비스 계정 정보는 업무시스템 정보와 분리해 관리하고, 계정별 접근권한과 사용 이력도 별도로 추적·기록해야 한다. 이를 통해 업무시스템 계정 정보와 혼재를 방지하고 계정 탈취·오용 등 보안 위협에 대한 대응력을 높일 것으로 기대된다.
아울러 단말이 연계 체계(인터넷연계)를 통해 외부 AI 서비스에 단방향 접속도 가능하다. 이 경우 파일 유형별 콘텐츠 필터링과 AI 서비스 결과 콘텐츠 악성 여부 진단, 사전 승인된 AI 서비스만 접속 허용 등 보안 조치가 필요하다.
외부 클라우드를 활용한 업무협업 체계를 구축하는 방안도 제시했다.
재택근무·출장 등으로 외부에서 모바일·온북 등 단말은 우선 인증·통제와 함께 보안조치를 완료해야 한다. 이후 단말의 고유정보를 식별하고 단말 내 중요 정보의 위·변조를 확인한다. 이때 탈취된 다날은 서비스형소프트웨어(SaaS) 접속을 차단한다. 아울러 SaaS 접속 시 두 가지 이상 인증을 수행하는 다중요소인증(MFA)을 마친 뒤 SaaS에 접속할 수 있도록 한다. 단말 탈취로 인한 SaaS 접속을 막기 위해서다.
이번 해설서엔 범정부 초거대 AI를 활용할 수 있는 보안 모델도 포함했다. 인터넷망의 초거대 AI와 융합을 통해 범정부 초거대 AI의 AI 모델 경량화, 파인튜닝, 검색증간생성(RAG) 등을 수행하고 업무시스템에서 이를 활용할 수 있도록 하는 게 골자다.
조재학 기자 2jh@etnews.com
