security

AI 시스템을 위한 보안 계획

김재벌 2026. 2. 25. 00:41

테크넷 마스터 김재벌 입니다.

 

AI 가 모든 이슈를 다 집어 삼키는 시장에서 AI 보안의 중요성도 무시할 수 없는 세상이 되었습니다.

 

최근에 가장 이슈가 되고 있는 OpenClaw 를 포함해서 말이죠.

 

 

AI 시스템의 과제

인공지능(AI)을 도입하는 조직은 AI 시스템 자체와 AI 시스템이 처리하고 생성하는 데이터를 보호하기 위한 정책 및 절차를 마련할 수 있습니다. 이러한 정보 보안 목표를 달성하는 방법에는 AI 시스템 운영 모니터링 및 정기적인 보안 유지 보수 수행 등 여러 가지가 있습니다.


기업 내 AI 보안 관리 작업은 특히 다양한 소프트웨어 플랫폼과 핵심 비즈니스 프로세스 또는 데이터 유형을 지원하기 위한 특정하거나 다양한 요구 사항을 가진 이기종 환경에서는 복잡할 수 있습니다. 

그러나 계획을 통해 조직의 AI 보안 목표와 보안 관행 및 통제 간의 강력한 일관성을 확보할 수 있습니다.

 

 

조직은 AI 시스템과 그가 처리·생성하는 데이터를 보호하기 위한 정책·절차를 가져야 하며, 운영 모니터링과 정기적인 보안 유지보수가 핵심입니다.

다양한 플랫폼·업무·데이터 유형이 혼재된 환경에서는 AI 보안 작업 관리가 복잡해지므로, 보안 목표와 실제 통제 수단의 정렬을 위한 계획이 필요합니다.

이를 위해 NIST가 정의한 시스템 보안 계획(SSP: System Security Plan)을 AI 시스템에 적용하는 방안을 활용할 수 있습니다.

SSP는 특정 AI 시스템/모델, 일부 중요 시스템, 또는 여러 AI 시스템·모델 등으로 범위를 탄력적으로 설정해 작성할 수 있습니다.

잘 정의된 AI SSP는 조직의 AI 보안 목표와 이를 달성하기 위한 통제·운영 방안을 문서화하고 커뮤니케이션하는 도구 역할을 합니다.

AI SSP의 잠재적 이점은 취약점 관리(영향받는 시스템 식별), 비즈니스 연속성(복원력·재해복구 계획 지원), 효율적·일관된 운영(AI 자산 파악), 감사·리더십 요청 대응용 인사이트 제공 등입니다.

예를 들어, 새로운 AI 모니터링 시스템 도입 시 소프트웨어 목록, 네트워크 다이어그램, 데이터 설명, 구성 정보 등을 SSP에 정리함으로써 더 나은 도입·운영 결정을 내릴 수 있습니다.

AI SSP 수립 시 먼저 범위를 정하고(예: 지원하는 업무의 중요도 기준), 주요 시스템·구성요소 및 간접 의존성을 식별해야 합니다.

비즈니스 리더, IT·AI 운영팀 등 이해관계자를 참여시켜 SSP의 내용과 책임을 함께 정의하는 것이 중요합니다.

조직 내 담당자들에게 SSP에 포함될 AI 시스템의 범위를 명확히 알리고, 사용할 템플릿(예: NIST SP 800-18)을 선택합니다.

네트워크 다이어그램, 데이터 흐름도, 데이터 소유 매트릭스 등 관련 문서를 수집·유지하는 프로세스와, AI 시스템 변경 시 SSP를 함께 갱신하는 변경관리 프로세스를 정의·구현해야 합니다.

SSP는 정적 문서가 아니라 동적 문서로 취급해야 하며, 정기 검토 주기나 특정 이벤트 기반 검토 트리거를 설정하는 것이 바람직합니다.

변경 이력을 부록 등으로 관리하여, 변경 날짜와 상세 내용을 추적할 수 있도록 해야 합니다.

AI SSP 도입에는 추가 비용과 운영 부담이 수반되며, 빠르게 변화하는 AI 스택을 따라가며 문서를 유지해야 한다는 단점이 있습니다.

과도하게 엄격하거나 조직 현실과 맞지 않는 통제는 혁신을 저해할 수 있으며, 이미 성숙한 보안 정책·프로세스를 가진 조직에서는 기존 체계와 충돌할 가능성도 있습니다.

AI 시스템 보안에는 단일한 정답이 없으며, AI SSP는 선택 가능한 도구 중 하나로, 누가 언제 무엇을 어떻게 하는지 명확히 하는 데 도움을 줄 수 있습니다.

이러한 논리적 프레임워크는 투명성과 책임성을 높여 정보보안 목표 달성에 기여할 수 있으며, 조직은 제시된 NIST·CISA·CSA 등 추가 자료를 참고해 SSP 도입 여부와 구체 구현 방안을 검토할 수 있습니다.

 

추가적인 자료 

NIST Special Publication 800-18, Guide for Developing Security Plans for Federal Information Systems
NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Non-federal Systems and Organizations 
FedRAMP System Security Plan Required Documents
NIST AI Risk Management Framework
Cybersecurity & Infrastructure Security Agency Best Practices Guide
CISA Best Practices for Securing Data Used to Train & Operate AI Systems
Cloud Security Alliance AI Controls Matrix and AI security and risk management publications  

저작자표시 비영리 변경금지 (새창열림)