데이터 등급제(C-S-O) 도입과 획일적 망분리의 폐지

- 그동안 한국은 2006년부터 정부와 금융, 국방을 중심으로 내부망과 외부 인터넷망을 완전히 단절시키는 획일적 망분리 정책을 유지해 왔습니다. 하지만 AI 기술과 클라우드 서비스를 업무에 활용하기 위해서는 인터넷 연결이 필수적이기 때문에, 기존의 획일적 방식은 국가 경쟁력을 저하시키는 족쇄가 되었습니다. 이에 따라 정부는 데이터의 중요도에 따라 등급을 분류하는 C-S-O 체계로 전환하고, 2026년 5월 1일 자로 '국가 사이버 보안 기본 지침'에서 내부망과 인터넷망을 무조건 분리하도록 한 의무 조항을 삭제했습니다.

• C (Classified, 기밀): 국가 안보와 직결된 최상위 비밀 데이터로, 기존처럼 강력한 물리적 망분리를 유지합니다.

• S (Sensitive, 민감): 개인정보나 민감 정보가 포함된 데이터로, 적절한 보안 대책을 세우고 인터넷에 연결해 활용합니다.

• O (Open, 공개): 외부에 완전 공개가 가능한 데이터로, 규제 없이 자유롭게 유통하고 민간 서비스를 접목합니다.

정부 시스템의 민간 클라우드 이전 및 보안 시장의 재편

- 망분리 규제가 완화되면서 과거 정부 전산망 화재 사태 때 한계를 보였던 정부 시스템의 이중화(DR) 및 전산 시스템 고도화 작업이 본격화되고 있습니다. 국가 안보와 무관한 공공 데이터와 행정 시스템은 순차적으로 민간 클라우드로 이전될 예정입니다. 특히 글로벌 통상 마찰을 피하기 위해 국산 클라우드만 고집하지 않고, 정부의 보안성 심사를 통과하면 외산 클라우드(AWS 등)도 진입할 수 있도록 문호를 개방했습니다. 이로 인해 국내 보안 시장에는 파일 단위가 아닌 데이터 세분화(Granularity) 레이블링 기술이나, 서로 다른 등급의 망을 안전하게 연결하는 크로스 도메인 솔루션(CDS) 등 새로운 보안 기술 시장이 열리게 되었습니다.

소버린 AI의 역할과 AI 중심의 공격 및 방어 체계

- 클로드 미토스(Mithos)나 GPT 5.5 사이버 버전처럼 코딩 지식과 보안 취약점 분석 능력을 갖춘 생성형 AI가 등장하면서 사이버 공격의 위험성도 함께 커졌습니다. 이에 대응해 방어 체계 역시 AI를 활용하는 패러다임으로 진화하고 있습니다. 국가 안보 영역에서는 기술 유출 방지와 자국 보호를 위해 자체 파운데이션 모델 기반의 소버린 AI(Sovereign AI)를 강력하게 육성하고 유지해야 합니다. 반면 일반 산업과 민간 영역에서는 국산 소버린 AI뿐만 아니라 이미 공개된 다양한 LLM(대형 언어 모델)들을 기존 보안 도구와 결합하여 고성능 방어 체계(예: 마이크로소프트의 M-Dash나 국내 기업의 진트 등)를 유연하게 채택하는 흐름으로 가고 있습니다.

침해사고 직권조사 강화와 기업의 보안 책임 확대

- 규제가 완화되어 인터넷 연결과 AI 활용의 자율성이 높아진 만큼, 기업과 기관이 져야 하는 보안 책임과 사후 처벌은 크게 강화되었습니다. 과거에는 해킹 사고가 발생해도 기업들이 기술 지원을 요청하지 않고 자체적으로 숨기거나 로그를 지우는 등의 꼼수가 가능했습니다. 그러나 정보통신망법 개정으로 '침해사고 조사 심의위원회'가 신설되면서, 정부는 해킹 정황만 포착해도 기업의 동의 없이 강력한 직권 조사 명령을 내려 민간합동조사단을 투입할 수 있는 법적 권한을 갖게 되었습니다. 자율성을 얻은 대신 보안 관리를 소홀히 하여 사고를 낸 기업은 엄중한 법적 책임과 과징금 처분을 감수해야 합니다.

• 20년간 한국 IT를 묶어왔던 획일적 망분리 규제가 폐지되고, 데이터 중요도에 따라 분류하는 C-S-O 등급제가 도입되어 클라우드와 생성형 AI를 공공·금융 업무에 활용할 수 있는 길이 열렸습니다.

• 규제 완화에 발맞춰 공공 시스템의 민간 클라우드 이전이 본격화되고 있으며, 취약점 자동 분석 및 크로스 도메인 솔루션 같은 고도화된 클라우드 기반 보안 솔루션 시장이 새롭게 부상하고 있습니다.

• 자율성이 확대된 만큼 사후 책임이 강화되어, 해킹 징후 포착 시 정부가 기업에 직권으로 조사단을 투입할 수 있는 '침해사고 조사 심의위원회'가 가동되므로 기업들은 보안 역량을 획기적으로 끌어올려야 합니다.