과학기술정보통신부(이하 “과기정통부”)는 지난 5월 29일 인공지능(AI) 기반 사이버위협에 대응하기 위한 민간 정보보호 추진계획(안) (이하 “계획”)을 발표하였습니다. 이번 계획은 향후 고성능 AI를 통한 취약점 대량 발굴 일상화와 발굴된 취약점이 사이버 공격에 활용될 가능성에 대비하여 민간 분야의 AI 보안 위협에 대비하기 위한 긴급조치와 사회 전반의 정보보호 체계를 AI 기반으로 전환하기 위한 중장기 방향성을 제시하는 것을 목표로 합니다.
과기정통부가 밝힌 이번 계획의 주요 추진 방향은 크게 ① 범정부 거버넌스와 협력체계, 민간분야 대응조직 마련, ② AI 취약점 및 패치 정보를 일원화하여 관리하고, 민·관·군에게 신속공유 및 전파하는 긴급대응 체계 구성, ③ 기반시설·산업 인프라 등 주요 기업 대상 보안대비태세 강화 독려 및 일반인·중소기업 대상 보안 기본기 확립, ④ 국내 정보보호 체계를 독자 AI 기술 기반으로 대전환하기 위한 중장기 방향성 제시 등 내용으로 구성되어 있습니다.
|
1.
|
AI 취약점 공개에 대응하기 위한 민관합동 대응체계 마련
정부는 청와대 국가안보실을 중심으로 AI 취약점 공개 및 패치, 위협 상황 등을 신속 공유·전파하고, 침해사고(정황) 발생 시 합동대응 가능한 긴급 체계를 구축할 예정입니다. 민간 분야 총괄을 담당할 과기정통부 내에는 총괄 상황반을 설치하고, 민간 분야에는 금융위(금융), 복지부(의료), 기후부(에너지), 산업·중기부(제조), 산업·방사(방산), 교육부(학교) 등 소관 부처별 상황반을 운영할 예정입니다.
|
|
2.
|
취약점 관리센터 중심 취약점·패치 관리 일원화 및 긴급대응 준비
정부는 한국인터넷진흥원(KISA)에 취약점 관리센터를 설치하여 취약점·패치 관리를 일원화하고, 관계부처 및 기업 기술지원을 추진할 예정입니다.
특히 KISA 취약점 정보포털(KNVD)을 중심으로 대내외 공개 및 신고, 유관기관 공유 등을 통해 취약점과 패치를 광범위하게 수집 및 분석하고, 약 2만 8,000개 기업의 정보보호최고책임자(CISO), 민간 협력채널(C-TAS, ISAC), 부처별 상황반, 관·군 전체에 신속 공유 및 조치 권고하는 긴급 대응체계를 구성할 계획입니다.
|
|
3.
|
주요기업 보안대비태세 강화, 중소기업 보안기본기 확립 만전
AI 보안위협 관련 피해 파급력이 큰 주요기업(피해 파급력이 높은 정보통신기반시설 및 ISMS 의무기업을 비롯한 금융, 의료, 에너지 등 분야별 대형기업 및 상급종합병원·주요 사립대 등 약 1,200개사)에 대해서는 보안대비태세 강화를 위해 각 소관 부처의 주관 하에 자산관리 및 취약점 점검, 패치 대응 등을 자체 추진하도록 하고, 정부는 분야별 이행점검을 추진할 계획입니다.
중소기업은 자산 관리체계 확립을 위해 스스로 IT 자산 식별 및 현 보안 수준 진단을 진행하고, 정부는 보안투자 가이드 및 조치실행을 추천해주는 웹 도구를 배포하는 한편, AI가 악용하기 쉬운 오픈소스 취약점을 선제 식별·조치할 수 있도록 소프트웨어(SW) 구성명세서 생성·분석 기술지원을 추진할 예정입니다. 특히 과기정통부는 고성능 AI 모델을 활용한 중소기업 제품(SW)의 취약점 점검 등 디지털 산업환경 조성을 유도할 계획입니다.
|
|
4.
|
AI 기반 사이버 위협 선제 대응 체계 확립 및 AI 보안주권 확립 중장기 방향성 제시
AI 기반 사이버 위협 선제 대응 체계 확립: AI 보안위협에 빠르게 대응하기 위해 전 세계 도메인(약 3.5억건/일)을 상시 모니터링하는 한편, AI 기반 악성행위(공격준비)와 도메인을 생성 즉시 탐지할 계획입니다. 또한 AI 서비스 관련 침해사고(정황 및 의심 포함) 발생 시, 침해사고조사심의위원회를 즉시 가동하여 신속한 침해사고 조사 및 피해확산 차단을 도모할 예정입니다.
대국민 등 홍보 및 대응요령 전파: 취약점 발견부터 패치까지 전 단계에 걸친 제조사·기업·기관·일반인 등 주체별 대응요령을 마련해 전파하고, 보안투자 확대를 위해 주요 산업군 CEO 대상 정부 행동요령 기반 릴레이 간담회 등 홍보를 지속 추진할 예정입니다.
|
이외에도 이번 계획에는 오픈 AI의 정부·기관용 신뢰기반 접근프로그램(GTAC) 확보를 시작으로 국제협력을 통한 글로벌 AI 보안생태계 구축, 2027년부터 국내 정보보호 체계를 독자 AI 기술 기반으로 대전환하고, AI 보안주권을 확립하기 위한 프로젝트 출범 등 중장기 방향성이 포함되어 있습니다.
정부의 이번 계획은 AI 기반 사이버위협을 단순한 기술적 리스크가 아닌 국가·산업 전반의 구조적 위기로 인식하고, 민관 협력 체계를 전면 재편하겠다는 의지를 명확히 한 것으로 평가됩니다. 특히 주요기업을 중심으로 자산 관리 및 취약점 점검 여부에 대한 이행점검이 예상되는 만큼, 주요기업의 입장에서는 이번 계획을 AI 위협 환경에 맞게 선제적으로 보안 프로세스를 점검하고 자사의 정보보호 체계를 고도화하시는 계기로 삼아 비즈니스 연속성을 확보하실 필요가 있을 것으로 생각됩니다.
[영문] Ministry of Science and ICT Announces a Private Sector Information Security Plan to Respond to AI-Based Cyber Threats