AI 시대, 보안은 ‘브레이크’ 아니라 ‘조향 장치’

[연재목차 Part 2. AI 시대 보안 패러다임]
1. AI 시대의 그림자, ‘딥페이크 사기’를 경계하라
2. AI 시대, 번아웃 관리
3. AI 편향과 공정성, 보안에서 무엇이 다른가
4. 설명가능 AI와 인간의 최종 판단
5. AI도 인간과 닮았다
6. AI, ‘안전’과 ‘보안’의 경계를 허물다
7. AI 도입의 딜레마_기회와 위험 사이
8. AI 위험에 대한 2개의 거버넌스
9. 챗봇을 넘어, ‘행동하는 AI’를 통제할 시간
10. 살아있는 AI 보안 거버넌스 구축
11. AI 보안의 새로운 지평_AI-SPM
12. AI 시스템 새로운 위험분석_STPA
13. 에이전트 AI 시대_인간 중심 통제 설계
14. AI와 인간의 동맹_협업모델
15. AI, 보안문화를 재정의하다

[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 오늘날 기업 경영에서 AI는 더 이상 선택이 아닌 생존을 위한 필수 조건이 됐다. 그러나 대다수 조직은 비즈니스 혁신과 데이터 유출 및 통제 불능 사고 사이의 심각한 딜레마에 빠져 있다. 이러한 파도 속에서 조직을 지키는 힘은 단순한 규정집이 아닌, 구체적인 작전 계획인 ‘실행형 AI 보안 거버넌스’에서 나온다.


전선을 명확히 하라: AI 보안 거버넌스의 3대 영역
성공적인 거버넌스를 위해 경영진은 세 가지 전선에서 방어 태세를 점검해야 한다.

첫째, 공급망 리스크와 데이터 자산 보호: 외부 거대 언어 모델 도입 시 모델 자체를 통제하기보다 입출력 데이터의 통제에 집중해야 한다. 민감 데이터의 유출 차단과 결과물의 편향성 필터링 파이프라인 구축이 핵심이다.

둘째, 내부 활용의 가시성 확보: 승인 없이 사용하는 ‘섀도우 AI(Shadow AI)’를 무조건 차단하기보다 안전한 샌드박스 환경으로 유도해야 한다. 프롬프트 인젝션 등 새로운 공격 기법에 대비한 교육도 병행되어야 한다.

셋째, 규제 준수의 선제적 대응: EU AI 법과 국내 AI 기본법 등 규제 준수는 이제 기업의 생존 조건이다. 윤리적 기준과 법적 요구사항을 충족하는 상시 모니터링 체계가 필요하다.

누가 무엇을 책임지는가: 거버넌스의 ‘삼각 편대’
AI 거버넌스는 세 주체의 명확한 역할 분담 위에서 작동한다.

이사회와 CEO (Sponsor): 예산 승인을 넘어 ‘AI 보안 문화’의 구심점이 되어야 하며, 보안 사고를 경영 리스크로 인식해야 한다.

CISO와 보안 조직 (Controller): AI 기술 특수성을 이해하고 기술적 권한을 갖되, 현업의 속도를 저해하지 않는 유연한 가이드라인을 제시해야 한다.

현업 부서장 (Business Owner): AI 성과 창출의 주체로서 그에 따른 리스크의 최종 소유권 또한 가져야 한다. "보안은 보안팀 책임"이라는 낡은 인식에서 벗어나야 한다.

실행 전략: 통합하고 단계적으로 완성하라
가장 현실적인 모델은 ‘하이브리드형 지휘 체계’다. 전사 정보보호 거버넌스 산하에 AI 보안 전문가 그룹을 배치하여 전문성과 민첩성을 확보해야 한다. 또한, 섀도우 AI 현황 파악(1단계 기반 조성), 거버넌스 위원회 발족 및 글로벌 표준 도입(2단계 체계 확립), 보안 검증의 LLM Ops 내재화(3단계 혁신 가속) 순으로 성숙도를 높여야 한다.

보안, 통제를 넘어 혁신의 러닝메이트로
고성능 스포츠카일수록 강력한 브레이크가 있어야 최고 속도로 달릴 수 있듯이, 보안 거버넌스는 AI라는 엔진을 장착한 기업의 안전한 고속 주행을 가능케 하는 핵심 장치다. 이제 보안은 통제자가 아닌 비즈니스 최전선의 ‘러닝메이트’가 되어야 하며, 경영진은 지금이 보안을 경영 중심으로 끌어올려야 할 골든 타임임을 직시해야 한다.

[글_ 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]

필자 소개_ 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>