AI 핵심 요약
beta- 국가정보원이 2025년 9월 30일 N2SF 1.0을 발표하며 망분리에서 데이터 중심 보안으로 전환했다.
- 그러나 N2SF는 AI 재식별 위험을 심사하지 않아 공공데이터 개방 속 AI 데이터 영향평가와 법제화가 시급한 상황이다.
- 망분리로는 부족한 AI 시대에 N2SF는 AI가 무엇을 학습·추론하는지까지 통제하는 AI 거버넌스 중심 보안의 출발점이 되어야 한다.
!AI가 자동 생성한 요약으로 정확하지 않을 수 있어요.
공무원 한 사람이 업무를 빨리 끝내기 위해 생성형 AI에 보고서를 붙여 넣는다. 주민등록번호도 지웠고, 기관명도 삭제했으니 문제없다고 생각했다. 하지만 AI는 문장 속 수많은 단서를 조합해 원래 정보를 추론할 수 있다. 사람은 이름을 지웠다고 생각했지만 AI는 이름이 없어도 누구인지 알아낼 수도 있다.
그 다음 공무원은 업무 인수인계를 받고 나서 지금 민원을 제기한 민원인이 3년전 유사한 민원을 제기한 민원인과 같은 사람인지 궁금했다. 그래서 몇가지 알고 있는 정보를 넣어 조합하고 같은 사람인지 알아내기 위해 적당한 프롬프트를 고민한다.
AI 시대 보안은 여기서부터 시작된다. 2006년 우리나라가 공공기관 망분리를 도입했을 당시 인터넷은 가장 큰 위협이었다. 인터넷과 업무망만 분리하면 대부분의 공격을 막을 수 있었다. 실제로 워너 크라이 랜섬웨어 당시 우리나라 피해가 적었던 이유 가운데 하나도 망분리 정책이었다. 그러나 지금 AI는 망을 더 이상 해킹하지 않는다. 데이터를 읽고 데이터를 학습한 뒤

우리가 미처 생각하지 못한 사실을 추론한다. 이제 공격 대상은 더 이상 네트워크가 아니라 데이터다. 그래서 국가정보원이 2025.9.30. 발표한 N2SF 1.0 정책은 매우 반가운 정책이었다. 20년 가까이 유지되어 온 망분리 정책을 데이터 중심 보안으로 전환한 것은 시대가 요구하는 변화였기 때문이다.
AI와 클라우드를 전제로 C(Classified), S(Sensitive), O(Open)로 그 등급을 나누고 위험에 따라 보안을 적용하겠다는 발상은 매우 의미 있는 진전이었다. 그러나 좋은 제도일수록 완성을 위해서는 더 많은 경우의 수를 따져봐야 한다. 우리나라는 개인정보영향평가는 개인정보보호법 제33조에 있고 고영향인공지능확인제도도 인공지능기본법 33조에 있지만 유럽의 GDPR 35조와 같은 재식별위험평가와 같은 제도는 도입되어 있지 않다.
그래서 N2SF는 데이터를 심사하지만 AI는 심사하지 않는다. 파일덩어리로 심사를 할 뿐 AI가 해내는 재식별의 위험은 그 누구도 고려하지 못하고 있는 셈이다. 그러므로 N2SF는 단순한 지침으로 자율에 맡길 것이 아니라 법으로 규정하고 인공지능 기본법과의 관계상 국민의 권리보호와 연계하여 AI 데이터 영향평가도 포함시켜야 한다.
왜냐하면 이것은 단순한 보안지침이 아니라 대한민국 공공부문 AI 활용의 첫 번째 문이기 때문이다. 즉, 개인정보와 고영향인공지능확인과 같은 첫 번째 문만 열어 놓고 두 번째 진짜 문을 만들지 않는다면 AI 시대의 위험은 그대로 남게 된다. 즉, 데이터를 분류하는 것을 넘어 AI를 심사해야 하는 것이다. 이미 여기저기에서 재식별 위험에 대한 볼멘 소리가 나오고 있다.
공공데이터 개방정책으로 인해 그 위협은 점점 더 커져가고 있는 것이 현실인 지금 N2SF 2.0에는 반드시 'AI 데이터 영향평가'가 포함되고 이것이 법으로 제정될 필요도 요구된다. AI 데이터 영향평가는 AI가 데이터를 학습·추론·생성하는 과정에서 개인정보 재식별, 국가핵심기술 유출, 알고리즘 편향 등 새로운 위험을 사전에 평가하고 통제하는 AI 시대의 안전장치이다.
N2SF는 망분리의 대안에만 머물 것이 아니라 2026년 AI 법의 원년에 대한민국 AI 거버넌스의 시작으로서 망을 지키는 것만으로는 국가를 지킬 수 없고 이제는 AI가 무엇을 배우고 무엇을 추론하는지까지 위협을 심사하는 파수꾼이 되 주어야 한다. 망분리는 20세기 보안의 완성이었지만, AI 데이터 영향평가는 21세기 보안의 출발점이기 때문이다. 이제 N2SF는 끝이 아니라 시작이다. 대한민국은 '망 중심 보안'에서 'AI 거버넌스 중심 보안'으로 전면 교체될 시점에 서 있다.
*박정인 교수(법학박사)는 대통령 국가지식재산위원회 본위원회 위원, 문체부 저작권보호심의위원회 심의위원, 문체부 여론집중도조사위원회 상임위원, 인터넷주소분과위원회, 웹콘텐츠 활성화위원회 자문위원, 강동구 공직자윤리위원회 심의위원, 경찰청 사이버범죄 강사 등 여러 국가 위원을 역임했다. 공공기관 대상 법령입안강의를 하며, 대학에서 특허법, 저작권법, 산업보안법, 과학기술법, 정보보안법, 디지털증거법, ICT트러스트공학, 일반 산업안전, 중대재해법 등을 강의한다. 한국인터넷진흥원, 한국콘텐츠진흥원, 인텔리콘 메타연구소, 해인예술법연구소, 숙명여대 초빙교수, 단국대 연구교수 등을 역임했다.












