국정원 '정보서비스 모델 해설서' 살펴보니…생성AI·SaaS 사용 시 사전 인가 필수 작성일 03-17 130 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="ykJwsyIime"> <figure class="figure_frm origin_fig" contents-hash="b80d6ade49dd660b5f4d61867609783a8bcc285b4d706cd7ef65c585be4883d8" dmcf-pid="WEirOWCnsR" dmcf-ptype="figure"> <p class="link_figure"><img alt="ⓒ게티이미지뱅크" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202503/17/etimesi/20250317170241712zngc.jpg" data-org-width="700" dmcf-mid="xTGzbP9Hwd" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202503/17/etimesi/20250317170241712zngc.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> ⓒ게티이미지뱅크 </figcaption> </figure> <p contents-hash="d876b63a6ebbae92f9447f3d3c43636ac6441c3a8006cf4196529c090b3795d0" dmcf-pid="YDnmIYhLwM" dmcf-ptype="general">공공 분야에서 챗GPT와 같은 생성형 인공지능(AI)과 클라우드를 활용하려면, 사전에 승인받은 지정 단말을 사용하고 기관 전산망 내 인증·통제 서버를 이용해 단말·사용자 인증을 거친 뒤 보안요소 통제가 이뤄져야 한다.</p> <p contents-hash="8f45fe6c1d2b9e7871d76639cff1b675ad1a3782d01d23c967bd69e5467cfb55" dmcf-pid="GwLsCGloOx" dmcf-ptype="general">17일 정보보호산업계에 따르면, '정보서비스 모델 해설서'엔 업무환경에서 생성형 AI 활용, 외부 클라우드 활용 업무협업 체계, 공공 데이터의 외부 AI 융합 등 8개 모델에 대한 보안 요구사항과 보안대책이 담겼다.</p> <p contents-hash="685d5eabd8302d8b80bf1854fb37552c517e2d0d2af3497f2391a88df7ffe98f" dmcf-pid="HroOhHSgrQ" dmcf-ptype="general">앞서 국가정보원은 지난 1월 23일 국가사이버안보센터 홈페이지를 통해 국가망보안체계(N²SF) 가이드라인과 함께 보안통제 항목 해설서(부록1)만 공개하고, 보안 문제 등 이유로 각 기관에 배포한 정보서비스 모델 해설서(부록2) 공개는 제한한 바 있다.</p> <p contents-hash="a5e537442319c923ffa426a0e0cf62a345cb19472f4800b86e093ef7637fc99a" dmcf-pid="XkOZtq3IrP" dmcf-ptype="general">N²SF는 공공 분야에서도 AI·클라우드 등 정보기술(IT) 신기술을 활용할 수 있도록 길을 열어주는 동시에 보안성 유지·강화하는 게 핵심이다. 20년 가까지 유지한 망분리 정책 기조에서 크게 전환하는 정책으로, 국정원은 실례를 통해 정부·공공기관의 제도 이해도를 높이기 위해 정보서비스 모델 해설서를 별도로 마련했다. 전체 정보시스템을 단박에 N²SF로 전환하는 것은 사실상 불가능하기에 기관이 필요한 정보서비스부터 순차적으로 도입하도록 돕겠다는 게 국정원 측의 복안이다.</p> <p contents-hash="f931bb67933b8f58b5bcf4af3fb90cd3fd55884c2b3ba13621c1908bc5789662" dmcf-pid="ZEI5FB0Cm6" dmcf-ptype="general">해설서는 업무 단말에서 국내외 생성형 AI 서비스에 접속해 업무 활용도를 높이는 데 필요한 보안 요구사항과 대책을 제시했다. 먼저 단말은 기관 전산망 내 존재하는 인증·통제 서버를 통해 AI 서비스 활용을 사전에 승인받은 후 보안 조치를 마쳐야 한다. 또 AI 서비스 계정 정보는 업무시스템 정보와 분리해 관리하고, 계정별 접근권한과 사용 이력도 별도로 추적·기록해야 한다. 이를 통해 업무시스템 계정 정보와 혼재를 방지하고 계정 탈취·오용 등 보안 위협에 대한 대응력을 높일 것으로 기대된다.</p> <p contents-hash="094267b3c68ef2e8cccf68b166d802b94743aad76e85ef3d926df28d4831fd07" dmcf-pid="5DC13bphm8" dmcf-ptype="general">아울러 단말이 연계 체계(인터넷연계)를 통해 외부 AI 서비스에 단방향 접속도 가능하다. 이 경우 파일 유형별 콘텐츠 필터링과 AI 서비스 결과 콘텐츠 악성 여부 진단, 사전 승인된 AI 서비스만 접속 허용 등 보안 조치가 필요하다.</p> <p contents-hash="685b01356b620c81049aa34300ac06e75acf8a2839b231a61e6bef077ebde1eb" dmcf-pid="1wht0KUlE4" dmcf-ptype="general">외부 클라우드를 활용한 업무협업 체계를 구축하는 방안도 제시했다.</p> <p contents-hash="c42de964be88b6dc548d58a53605748039a8fe08e07269ef6bee589e552b999b" dmcf-pid="trlFp9uSsf" dmcf-ptype="general">재택근무·출장 등으로 외부에서 모바일·온북 등 단말은 우선 인증·통제와 함께 보안조치를 완료해야 한다. 이후 단말의 고유정보를 식별하고 단말 내 중요 정보의 위·변조를 확인한다. 이때 탈취된 다날은 서비스형소프트웨어(SaaS) 접속을 차단한다. 아울러 SaaS 접속 시 두 가지 이상 인증을 수행하는 다중요소인증(MFA)을 마친 뒤 SaaS에 접속할 수 있도록 한다. 단말 탈취로 인한 SaaS 접속을 막기 위해서다.</p> <p contents-hash="a7186575fd43f128f8487c385d1daa5b40ccc2554ff2285694c2165d05fbaffe" dmcf-pid="FmS3U27vmV" dmcf-ptype="general">이번 해설서엔 범정부 초거대 AI를 활용할 수 있는 보안 모델도 포함했다. 인터넷망의 초거대 AI와 융합을 통해 범정부 초거대 AI의 AI 모델 경량화, 파인튜닝, 검색증간생성(RAG) 등을 수행하고 업무시스템에서 이를 활용할 수 있도록 하는 게 골자다.</p> <p contents-hash="4dee6eb7b1ae95b9ec80166ca14c648ea207a1c5c200162c8e344e9a41f41aab" dmcf-pid="3sv0uVzTO2" dmcf-ptype="general">조재학 기자 2jh@etnews.com</p> </section> </div> <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 LG이노텍, SAP ERP로 전환···LG그룹 전자 부문 SAP 전환 가속 03-17 다음 유튜브 등 추천 알고리즘도 AI…'고영향 AI'로 분류·관리해야 03-17 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.