AI 보안역량 본격 반영…국정원, 공공 사이버평가 개편

인공지능과 클라우드 확산이 공공부문 사이버보안의 평가 기준을 바꾸고 있다. 국가정보원이 2026년 공공부문 사이버보안 실태평가 지표를 공개하며, AI 기반 선제적 방어 역량과 재난 대비 체계를 핵심 축으로 내세웠다. 정부가 내세운 3대 AI 강국 도약 전략과 맞물려, 공공기관의 디지털 전환 속도를 사이버보안 수준과 직접 연동하려는 의도로 읽힌다. 특히 올해 온나라시스템 해킹과 국가정보자원관리원 화재 등 대형 장애를 계기로, 사이버 사고가 행정 서비스 중단으로 이어지는 구조를 차단하는 것이 평가 체계의 핵심 과제로 부상한 모습이다. 공공부문 예산 구조와 인력 운용에도 적지 않은 영향을 줄 수 있어, 업계에서는 향후 수년간 공공 사이버보안 시장 재편의 분기점이 될 수 있다는 관측이 나온다.

국가정보원은 지난 10일부터 11일까지 이틀 동안 중앙행정기관, 지방자치단체, 공공기관 등 각급 기관 정보보안 담당자 400여 명을 대상으로 사이버보안 실태평가 설명회를 열고 2026년도 평가지표 개편 방향을 공유했다. 국정원은 2007년부터 매년 공공부문 사이버보안 실태를 평가해 왔으며, 해당 결과를 기관별 보안 수준 진단과 예산·인력 배분의 참고자료로 활용해 왔다. 이번에 공개한 새 평가지표는 전년 대비 구조를 대폭 바꾸고 AI·클라우드 기술 활용 항목을 본 평가 체계에 편입한 것이 특징이다.

개편안의 가장 큰 변화는 AI 기반 보안 역량을 별도 가산점이 아닌 실질적인 경쟁 요소로 끌어올렸다는 점이다. 국정원은 AI 기반 보안관제시스템 구축 및 운영, AI 기술을 활용한 보안업무 자동화, 국가 망 보안체계로 불리는 N2SF 구축 현황 등을 새로운 가산점 항목으로 신설했다. 기존에는 로그 분석, 침해사고 대응, 취약점 점검 등이 인력 중심·사후 대응 위주로 평가됐다면, 앞으로는 AI가 이상 징후를 실시간 분석하고 인간 분석가의 대응을 지원하는 구조를 얼마나 갖췄는지가 핵심 평가 지표가 되는 셈이다. AI 보안관제는 대량의 네트워크 트래픽과 시스템 로그를 기계학습 모델로 분석해 정상 패턴과 다른 이상 행위를 조기에 포착하는 방식으로, 과거 시그니처 기반 탐지보다 새로운 공격 유형 탐지에 유리하다는 평가를 받는다.

클라우드 도입과 함께 네트워크 경계가 희미해지는 환경에 맞춰, 국정원은 국가 망 보안체계인 N2SF 구축 여부도 주요 지표로 제시했다. N2SF는 공공기관 간 데이터 연계와 클라우드 전환 과정에서 구간별 암호화, 접속 통제, 침입 차단 등 보안 기능을 통합 관리하는 구조를 지향한다. 평가 지표에 공식 반영됨에 따라, 그동안 개별 기관의 선택에 가까웠던 클라우드 보안 아키텍처가 향후에는 중앙 가이드라인에 더 밀접하게 수렴할 가능성이 커졌다는 분석이 나온다. 업계에서는 이에 따라 제로트러스트, SASE 등 신형 네트워크 보안 모델과 연계한 공공부문 수요가 확대될 수 있다고 보고 있다.

사고 재발 방지를 위한 재난 대비 항목의 비중도 눈에 띄게 커졌다. 올해 온나라시스템 해킹과 국가정보자원관리원 화재로 정부 주요 행정 서비스와 대민 서비스가 장시간 마비된 사건은 공공 IT 인프라의 단일 장애 지점을 노출했다는 지적을 받았다. 국정원은 이런 사고를 계기로 재난 방지 대책 수립, 데이터 백업과 이중화, 비상 복구 시나리오 검증 등 항목의 배점을 상향했다. 단순 침해사고 발생 여부보다, 물리적 재난과 사이버 공격이 복합적으로 발생했을 때도 핵심 서비스를 유지할 수 있는지 여부가 평가의 중심에 놓이는 구조로 재편하는 셈이다. 이는 랜섬웨어 공격으로 행정망과 업무망이 동시에 마비되는 글로벌 사례가 늘어나는 상황에서, 공공부문 연속성 계획의 중요성을 반영한 조치로 해석된다.

예산 구조 개편 유도도 새 지표의 중요한 목적 중 하나로 제시됐다. 과학기술정보통신부, 국가정보원, 기획재정부 등 관계 부처는 지난 10월 범부처 정보보호 종합대책을 공동 발표하며 공공 정보보호 전용 예산 확대를 강조했다. 이번 평가지표에서는 정보보호 전용 예산 항목과 재난 방지 대책 관련 항목의 배점이 상향됐고, 실제 예산 편성 여부와 투자 규모, 장기 계획 수립 여부가 평가에 반영된다. 그동안 공공기관 정보보호 예산이 전산 일반 예산에 속해 우선순위에서 밀리는 일이 잦았다는 점을 감안하면, 향후 기획 단계에서부터 보안 투자를 별도 항목으로 확보하려는 움직임이 확대될 것으로 예상된다.

평가위원단 구성에서도 기술 트렌드 변화를 반영했다. 국정원은 AI와 클라우드, OT 보안 등 분야별 전문가 비중을 확대해, 개별 기관의 환경에 맞춘 정성 평가를 강화한다는 방침이다. 클라우드 네이티브 구조나 컨테이너 기반 인프라를 도입한 기관은 기존 전통적 네트워크 중심 관점으로는 보안 수준을 제대로 평가받기 어려웠다는 지적이 있었는데, 전문위원단 확대를 통해 이런 한계를 줄이겠다는 구상이다. 동시에 각 지방에서 활동 중인 전문가의 참여율을 높여 지역 공공기관의 사이버보안 역량 강화와 인력 네트워크 확충도 지원할 계획이다.

글로벌 차원에서도 공공부문 사이버보안 평가는 AI 도입 여부를 기준으로 고도화되는 흐름이 뚜렷하다. 미국과 유럽에서는 국가 차원의 위협 인텔리전스와 연계된 AI 기반 보안관제 플랫폼 구축이 진행 중이며, 일본도 지방자치단체를 대상으로 클라우드 기반 보안 공동 이용 모델을 확산하고 있다. 국정원의 이번 개편은 이런 흐름에 맞춰 국내 공공부문 평가 체계를 선제적으로 재정렬하는 조치로 평가된다. 특히 평가 결과가 차년도 예산과 인력 배치, 주요 사업 심사에 영향을 주는 구조를 고려하면, AI 보안관제 시스템과 클라우드 보안 솔루션을 제공하는 국내 기업 입장에서는 공공 시장 확대의 신호로 해석될 수 있다.

다만 AI 기반 보안 역량 평가가 실제 기술 수준보다 형식적 도입을 부추길 수 있다는 우려도 존재한다. 공공기관이 평가 대응을 위해 단기간에 AI 기능이 포함된 솔루션을 도입하되, 실제 운영과 데이터 품질 관리, 인력 교육이 따라가지 못할 경우 기대한 효과를 내기 어렵다는 지적이다. 또 AI 모델 학습에 활용되는 로그와 트래픽 데이터의 보관 및 활용 과정에서 개인정보 보호와 국가 기밀 관리 문제를 어떻게 조정할지에 대한 세부 가이드가 필요하다는 목소리도 크다. 공공부문 보안관제에 쓰인 AI 모델이 외부 클라우드 환경에 구축될 경우, 데이터 주권과 관련한 논쟁도 불가피할 것으로 보인다.

국정원 관계자는 AI 시대를 맞아 국가안보와 국민안전을 위한 사이버보안 강화는 선택이 아닌 필수라며, 이번 평가지표 개편이 공공분야 AI 고속도로를 안전하게 구축하고 활용하기 위한 기반이 되도록 환경 변화에 맞춰 평가체계를 지속 발전시켜 나가겠다고 말했다. 전문가들은 평가 기준이 공공기관의 기술 투자 방향을 사실상 규정하는 만큼, AI와 클라우드 도입 속도뿐 아니라 운영 역량과 윤리·보호 원칙을 함께 관리할 수 있는 세부 지침 마련이 중요하다고 강조한다. 산업계는 새로 개편된 평가지표가 공공부문 사이버보안 수준을 실질적으로 끌어올리고 시장에 안착할 수 있을지 주시하고 있다.