20년 망분리는 왜 하필 지금 폐지됐는가
한국 보안의 기본값은 오랫동안 '끊는 것'이었습니다. 2006년부터 인터넷망과 업무망을 물리적으로 분리하면 안전하다고 믿었고, 그래서 책상마다 컴퓨터가 두 대씩 놓였습니다. 올해 5월 국가 사이버 보안 기본 지침에서 내부망과 인터넷망의 분리 의무 조항이 삭제됐습니다. 20년 만의 전환입니다.
폐지의 이유가 핵심입니다. 막아서 안전했던 것이 아니라, 더는 막을 수 없게 됐기 때문입니다. 지난해 통신사와 카드사 사고를 들여다보니 폐쇄망이라던 곳마다 인터넷 접점이 이미 존재했습니다. 마이크로소프트 조사에서는 근로자의 75%가 생성형 AI를 쓰고, 그중 78%는 회사가 승인하지 않은 도구였습니다. 망은 진작 연결돼 있었고, 회사만 그 사실을 몰랐던 셈입니다.
진짜 병목은 보안이 아니라 데이터 분류다
망을 열면 모든 데이터를 국가안보·민감·공개 세 등급으로 나눠야 합니다. 그런데 한국은 이 분류를 제대로 해본 적이 없습니다. 현장에 시켜보면 거의 다 '국가안보급'으로 올립니다. 잘못 분류해 사고가 나면 책임져야 하니, 보수적으로 가장 높은 등급을 택하는 것입니다. 영국이 6등급 체계를 3등급으로 줄이며 공개 가능한 데이터 범위를 넓히는 데 3년이 걸린 이유도 여기에 있습니다.
분류의 단위도 문제입니다. 진단서 한 파일에 공개해도 되는 환자 이름과 민감한 주민등록번호가 섞여 있으면, 파일 전체가 민감 정보로 묶여 활용도가 떨어집니다. 이름·주소·식별번호처럼 항목 단위로 등급을 매기면 권한에 따라 같은 문서가 다르게 보입니다. 이 자동 분류 기술 시장이 해외에는 있지만 한국에는 없습니다. 클라우드에 데이터를 올려본 적이 없으니 분류할 일도 없었던 것입니다.
소버린 AI 강박이 놓치는 것은 무엇인가
망분리가 풀리자 모든 영역을 국산 AI로 채워야 한다는 주장이 따라옵니다. 그러나 전 영역에 소버린 AI를 강제하면 공인인증서가 걸어온 길을 반복하게 됩니다. 강제는 경쟁을 없애고, 경쟁이 없으면 기술은 도태됩니다. 소버린 AI가 꼭 필요한 곳은 외산 모델이 끊기거나 정보가 넘어가서는 안 되는 국가안보 영역입니다. 일반 산업에서 무엇을 쓸지는 기업의 선택입니다.
최근 화제가 된 한 보안 AI는 독자 파운데이션 모델 없이 이미 공개된 LLM을 잘 엮어 최고 수준의 성능을 냈고, 그 팀의 주축은 한국인이었습니다. 경쟁력은 '우리 것'을 가졌는지가 아니라 잘 엮어 쓰는 역량에서 나온다는 증거입니다. 그래서 망분리가 풀린 자리에서 기업이 가장 먼저 할 일은 AI 도입이 아닙니다. 우리 데이터가 어떤 데이터인지부터 분류하는 일입니다.