소만사, ‘공공기관 생성형AI 활용 보호대책’ 분석리포트 발간
— N2SF 정보서비스 모델 중 생성형AI, 외부 클라우드, 업무단말 인터넷 이용 3종 분석

“공공기관에서 외부 생성형 AI를 사용하게 될 때는 어떤 보호대책을 마련해야 할까?
망분리를 없애는 대신, 보안강화에 집중투자해야 하는데
최소한 어떤 솔루션을 적용해야 하는지 콕 집어서 말해줄 수는 없을까?”

개인정보보호 전문기업 소만사(대표 김대환)는 4일,

국가정보원의 ‘국가망 보안체계(N2SF) 가이드라인’에 기반한 ‘공공기관 생성형AI 활용 보호대책 분석리포트’를 발간했다고 밝혔다.

국가정보원은 9월 N2SF 가이드라인을 통해

업무정보시스템과 데이터를 중요도에 따라 C·S·O 등급으로 분류하고 차등적 보안체계를 적용하는 프레임워크를 제시했다.

이를 통해 공공기관도 생성형AI, 외부 클라우드(SaaS) 등 신기술을 기관 인프라에 적용·활용할 수 있는 환경이 마련됐다.

다만, 위와 같은 인프라 환경이 운영되기 위해서는 보안성 확보가 전제되어야 한다.

이에 국가정보원은 생성형AI, 외부 클라우드, 모바일 등 11개 정보서비스 모델 해설서를 발간해, 공공기관이 신기술을 도입할 때 고려해야 할 보안 위협요소와 요구사항을 제시했다.

소만사는 이 가운데 도입/구축문의가 가장 많았던

▲ 생성형AI 활용, ▲ 외부 클라우드(SaaS) 기반 업무협업 체계, ▲ 업무단말 인터넷 이용 3개 모델을 선정해 분석을 진행했다.

각 개별 모델은 세부적으로 업무단말, 연계체계, 인터넷(생성형AI·외부 클라우드 등) 3개 영역으로 구분되어 있으며, 영역 별로 도입해야 할 기술적 보호조치와 특징은 다음과 같다.

업무 단말영역은 안티바이러스, 취약점 점검, 파일 암호화, 유출통제(DLP) 등 기존 보호조치 수준과 큰 차이가 없으며,

최신 업데이트를 통해 보안성을 유지하도록 권장하고 있다.

연계체계영역은 S등급 데이터 유출을 통제할 수 있는 AI DLP, SWG(시큐어웹게이트웨이), CDS, VDI(PC가상화) RBI, 인증시스템 구축에 초점이 맞춰져 있다.

마지막, 인터넷 영역에서는 사업자의 자체 감사로그, 계정·권한 관리 기능의 강화 등이 핵심적으로 요구된다.

‘공공기관 생성형 AI 활용 보호대책 분석리포트’는 10월 유지관리고객 대상으로 배포되었으며, 이후 홈페이지를 통해 공개할 예정이다.