국가정보원이 호주·미국 등 7개국 사이버안보기관과 손잡고 AI 공급망 전반의 보안 위협에 대응하기 위한 공동 권고문을 발표했다. 이번 권고문은 배포 이후의 사후 관리가 아닌, 설계 단계에서부터 보안을 내재화해야 한다는 ‘사전 예방’ 원칙을 핵심으로 삼는다.
규제 영향 및 적용 범위
이번 권고문은 AI 시스템을 구성하는 ▲데이터 ▲머신러닝 모델 ▲소프트웨어 ▲인프라·하드웨어 ▲제3자 서비스 등 5개 영역별로 위험 요소와 완화 방안을 체계적으로 제시한다. 편향되거나 품질이 낮은 데이터는 AI의 판단 오류를 유발할 수 있으며, 머신러닝 모델에는 악성코드나 백도어가 삽입될 수 있다는 점을 명시했다. AI 인프라 역시 악성 펌웨어 주입 등 신종 보안 위협에 노출될 수 있어 네트워크 분리 및 자체 인증 등의 강화된 관리가 권고된다.
컴플라이언스 요구사항
기업과 기관은 신뢰할 수 있는 출처의 데이터만을 사용하고, 투명성이 검증된 머신러닝 모델을 채택해야 한다. 또한 기존 정보보안 원칙을 AI 인프라에 동일하게 적용하되, AI 특유의 공급망 위협에 특화된 추가 대응 절차 마련이 요구된다. AI 도입 기업은 제3자 서비스 의존도를 점검하고 공급망 전반에 걸친 보안 감사 체계를 갖출 필요가 있다.
업계 대응
이번 권고문은 법적 구속력을 갖는 규제는 아니나, 주요 7개국 정보기관이 공동으로 채택한 권고안이라는 점에서 사실상의 국제 표준으로 기능할 가능성이 높다. 특히 글로벌 AI 공급망에 편입된 국내 기업들은 이를 기반으로 보안 체계를 점검하고, 조달·파트너십 계약 시 보안 요건을 명문화하는 방향으로 대응 전략을 수립해야 한다.
국제 동향
국정원은 2023년 11월 미국·영국 등과 안전한 AI 개발 가이드라인을 공동 발표한 데 이어, 2024년 12월에는 AI 보안 가이드북을 배포하며 AI 공급망 보안 관련 정책을 꾸준히 강화해왔다. 이번 권고문은 EU AI Act 등 글로벌 AI 규제 흐름과 맞닿아 있으며, 각국이 AI 안전성 확보를 위한 다자간 협력을 본격화하는 신호로 해석된다.
