국가정보원 전경. (국정원 제공)

<이미지를 클릭하시면 크게 보실 수 있습니다>

국가정보원은 5일 미국 국가안보국(NSA), 캐나다 사이버안보센터(CCCS), 싱가포르 사이버보안청(CSA), 뉴질랜드 사이버안보센터(NCSC-NZ), 일본 국가사이버총괄실(NCO), 영국 사이버안보센터(NCSC), 호주 신호정보부(ASD) 등 7개국 사이버안보기관과 함께 ‘AI 공급망 위험·완화방안’을 공동 발표했다.

국정원은 이번 권고문이 AI 공급망의 복잡성으로 인한 보안 위협에 대응하기 위해 마련됐다고 설명했다. 모델·데이터·인프라 등 다양한 공급자가 관여하는 구조에서 ‘백도어 은닉’ 등 위험 요인이 증가할 수 있다는 점을 반영했다.

권고문은 AI를 배포 이후 관리 대상이 아닌 설계 단계부터 보안을 내재화해야 할 시스템으로 규정했다. 데이터, 머신러닝 모델, 소프트웨어, 인프라·하드웨어, 제3자 서비스 등 5개 항목별로 위험 요소와 완화 방안을 제시했다.

권고문에 따르면 품질이 낮거나 편향된 데이터는 판단 오류를 초래할 수 있어 신뢰할 수 있는 출처의 데이터를 사용해야 하며, 머신러닝 모델은 악성코드 은닉이나 백도어 삽입 가능성을 고려해 안전한 파일 형식과 투명한 모델을 적용할 것을 권고했다.

또한 AI 인프라는 악성 펌웨어 주입 등 새로운 보안 위협이 존재하는 만큼, 네트워크 분리와 자체 인증 등 기존 정보보안 원칙을 적용해 관리해야 한다고 밝혔다.

국정원은 2023년 11월 ‘안전한 AI 개발 가이드라인’을 미국·영국 등과 공동 발표했으며, 2024년 12월에는 ‘AI 보안 가이드북’을 배포한 바 있다.

국정원 관계자는 “이번 권고문은 AI에 특화된 위험을 공급망 관점에서 정리하고 사전 예방 중심의 보안 관리 방향을 제시했다”며 “주요국들과 협력해 국내에서 AI를 안전하게 활용할 수 있도록 적극 지원하겠다”고 밝혔다.

이경탁 기자(kt87@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>