안녕하세요, 앤앤에스피(NNSP)입니다.
2025년은 한국에서 보안 사고 '최악의 해'로 기록될 전망입니다.
통신·금융·플랫폼을 가리지 않고 대형 사고가 연달아 발생했고, 그 여파로 대기업부터 중소기업까지 수천만 건 규모의 개인정보가 유출되는 상황을 목격했습니다.
이런 상황에서 생성형 AI는 이제 거스를 수 없는 대세가 됐습니다. 다만 AI 도입이 빨라질수록, 우리가 지켜야 할 보안의 기준도 함께 높아져야 합니다.
이번 뉴스레터에서는 2025년을 마무리하며, 국정원이 12월 발행한 <국가공공기관 AI 보안 가이드북>에서 반드시 짚어야 할 보안 포인트를 정리했습니다.
내부망 전용 AI, '운영 통제'도 필요
공공기관이 AI를 도입할 때 현장에서 가장 많이 고민하는 선택지는 두 가지입니다.
첫째는 내부에서만 사용하는 ‘내부망 전용 AI’이고, 둘째는 빠르게 효과를 내기 위해 상용 '생성형 AI'를 업무에 활용하는 방식입니다. 결국 모든 기관은 '데이터를 밖으로 내보낼 수 없다'는 현실과 'AI는 빨리 적용해야 한다'는 요구 사이에서 대안을 찾고 있습니다.
AI 보안 가이드북은 공공기관이 AI를 도입할 때, 가장 현실적인 출발점으로 내부망 전용 AI를 제시했습니다. 외부 접근을 차단한 상태에서 기관 내부에서만 AI를 운영해, 민감 정보가 외부로 유출될 가능성을 구조적으로 낮추는 방식입니다.
하지만, “내부망이면 완벽히 안전하다”는 공식은 성립하지 않습니다. 내부망에서도 사용자가 문서·대화를 입력하는 순간 민감정보가 섞일 수 있고, 프롬프트 인젝션 같은 공격은 '망'과 무관하게 작동할 수 있었기 때문입니다.
특히, AI에 과도한 권한이 있는 순간 단순 답변을 넘어 시스템 제어·업무 처리까지 영향을 줄 수 있어, 운영 통제 수준이 보안의 성패를 가를 수 있습니다. 가이드북은 내부망 전용 AI를 단순 시스템이 아니라 운영체계로 설계해야 한다고 지적합니다.
✅ 보안등급에 맞는 학습데이터 구성과 활용(데이터 등급/반출 기준 포함)을 먼저 잡고,
✅ AI시스템 로깅·모니터링으로 '누가 무엇을 입력했고 어떤 결과가 나왔는지'를 추적하고
✅ 과도한 권한 제한 및 민감 명령 승인 절차, 비상대응 체계를 함께 묶어야 한다고 정리했습니다.
특히 실제 운영으로 들어가면 내부망도 결국 연계가 필요해지고, 내부망↔외부망, 대민서비스↔내부망처럼 연결 지점이 새로운 공격표면이 될 수 있습니다.
📌 이 연결 지점을 어떻게 통제하느냐가 내부망 전용 AI의 성패를 좌우합니다.
상용 생성형 AI, 단순 연결 아닌 DMZ 중계서버 필수
정부 공공기관도 상용 생성형 AI를 업무에 활용하고 있습니다. 가이드라인은 상용 생성형 AI를 기관 업무에 활용하는 현실적인 시나리오를 다뤘습니다.
문서 초안 작성, 번역, 공개정보 검색·요약처럼 즉시 효과가 나는 업무에서 상용 AI API를 활용할 수 있고, 이때 단순 연결이 아니라 DMZ 중계서버를 두고 연계하는 방법을 제시했습니다. 즉, 상용 AI를 쓰더라도 '연결 방식부터 통제'하는 접근입니다.
상용 생성AI를 사용할 때 가이드북이 강조한 리스크는 3가지였습니다.
✅ 사용자 입력은 텍스트뿐 아니라 이미지·음성 등 다양한 형태로 확장될 수 있어, 의도치 않게 내부 정보가 외부로 나갈 수 있습니다. 그래서 입·출력 필터링과 모니터링을 핵심 통제로 제시합니다
✅ 상용 AI를 쓰는 순간 내·외부망 접점이 생기므로, 연계구간은 반드시 중계·접근통제·경계보안 강화로 관리해야 합니다.
✅ 계정·설정 위험이 커졌습니다. 계정 탈취나 보안 설정 미적용은 민감정보 노출로 이어져, 정기 사용자 교육과 운영 정책(경고 배너/알림 포함)이 필요합니다.
민감정보가 들어오고 나가는 것을 막기 위해 AI-DLP 등으로 통제하고, 필요한 경우 입력 형식 제한이나 별도 승인 절차도 있어야 합니다. 동시에 입·출력 결과를 모니터링해 이상 징후가 있으면 사용 중단 등 대응이 가능해야 합니다.
📌 AI 도입 속도가 빨라질수록, 입력·연계·권한·관제 같은 기본 보안 기준도 같이 올라가야 합니다. 도입 자체가 목표가 아니라, 안전하게 운영되는 구조가 목표가 돼야 합니다.
안전한 AI 활용의 기본, ‘앤넷CDS(nNetCDS)’
2026년은 '안전한 AI 운영'이 경쟁력이 되는 해가 될 가능성이 높습니다. AI를 빠르게 도입한 조직이 앞서가겠지만, 안전하게 운영하는 조직만이 신뢰를 지킬 수 있습니다.
내부망 AI든 상용 AI든 기본은 '안전한 연결'에서 시작합니다.
앤앤에스피의 '앤넷CDS' 기반 연계 통제를 적용하면 내부망↔외부망, 대민서비스↔내부망 등 다양한 연계 시나리오에서 데이터 흐름을 정책 기반으로 검증·차단·감사 가능하게 설계할 수 있습니다.
공공기관은 물론 일반 기업에서 AI 도입시 ‘통제 가능한 운영’으로 전환할 수 있습니다.
👉 nNetCDS 도입과 PoC 상담이 필요하시면 언제든 연락주십시오.
구독자 여러분 한해 마무리 잘 하시고 새해에 더 알찬 내용으로 찾아 뵙겠습니다.
감사합니다.
![[앤앤에스피] 사이버 서밋 코리아 2025에서 만나요!의 썸네일 이미지](https://cdn.maily.so/wrdo1u9t6k0o18klo9v63jg5tv73)
의견을 남겨주세요