AI 공습 앞에 무방비, 지금 필요한 건 '사이버 전담부처'다
[기고] 핵심은 데이터 주권… 누가 최종 결정을 내리는가
[미디어스=명승환 칼럼] 작년 ‘딥시크(DeepSeek) 사태’는 기술 이슈를 넘어 국가 위기관리 체계의 빈틈을 드러냈다. 누가 총괄하고, 어디서 결정을 내리는지 국민은 알기 어렵다. 그 사이 민·관은 “일단 쓰지 말자”와 “괜찮다” 사이를 오가며 혼란을 겪었다.
사실관계부터 짚자. 유럽은 2024년부터 조사에 착수했고, 올해 1월 말 이탈리아 데이터보호감독기구가 앱스토어 차단과 처리 금지에 나서며 첫 강경 조치를 꺼냈다. 뒤이어 올해 2월 초 한국 정부 부처·공공기관이 순차적으로 접속 제한과 주의 조치를 시행했고, 3월 초에는 국내 앱스토어에서 다운로드가 잠정 중단되기도 했다.
국제 동향도 분명하다. 호주는 연방 정부 모든 기기에서 딥시크 사용을 금지했고, 대만도 정부 부처 사용을 공식 금지했다. 일부 유럽국가 감독기구는 질의·조사를 병행 중이다. 이는 특정 기업을 향한 감정적 대응이 아니라, 데이터 국경과 공공부문 보안을 우선시한 정책 판단이었다.
우리의 문제는 속도와 책임의 불분명이다. 개인정보보호위원회는 1월 31일자로 본사에 질의서를 보내고 협력을 개시했지만, 범정부 차원의 일관된 메시지·조치 매뉴얼이 대외적으로 즉각 제시되지는 못했다. “누가 최종 결정을 내리는가”라는 구조적 질문이 여전히 남는다.
해법은 명확하다.
첫째, 컨트롤타워의 단일화. 대통령실 국가안보실을 상시 콘트롤타워로 지정해 행안부·국정원·과기정통부를 통합 지휘하고, PIPC·KISA에는 독립적 집행력을 부여해야 한다.
둘째, 전담부처 신설. ‘디지털·사이버 안보부(가칭)’가 사이버보안·데이터 거버넌스·AI·양자 전략을 한 곳에서 총괄하도록 하자.
셋째, 임시 범부처 조직. 초당적 민·관 합동 태스크포스로 90일 내 ‘공공부문 AI 보안 가이드라인 2.0’과 ‘데이터 유통·접경 관리 패키지’를 내놓는 식의 데드라인 드리븐 운영이 필요하다.
국가인공지능전략위원회는 산업과 기술에 편중되어 이러한 거시적이고 사회적 대변혁에 대한 추진체계로서는 부적합하다. 김대중 정부와 노무현 정부때 왜 정보화사회와 전자정부를 축으로 IT를 수단으로 하여 민영화와 공공혁신을 추진하였는지 다시 복기해 봐야 한다. 소셜미디어 인플루언서와 과학기술 원리에 탁월한 전문가가 사회 대전환기에 쓰일 곳은 한정되어 있다. 누구보다 본인들 스스로가 잘 알고 있을 것이다.
넷째, 민관 동시투입. 정부의 젊은 엘리트 관료, 국내외 검증된 보안·법률·AI 전문가를 개방형 공모로 영입해 실력 위주로 팀을 꾸리자. 컨트롤타워 수장 역시 정치·지역 안배가 아니라 위기관리 실적으로 선임해야 한다.
다섯째, 예산의 선택과 집중. 실적 없는 위원회 예산을 과감히 구조조정해 보안 인력·인증·침해대응 실험장(테스트베드)에 투입하자.
핵심은 데이터 주권이다. 데이터 수집·처리·이전의 투명성과 잔존위험 관리 없이 생성형 AI도, 양자도 공허하다. 지금 이 순간에도 공공기관은 RFP와 조달을 통해 ‘AI 대전환’을 밀어붙이고 있다. 그렇다면 최소한 국가 표준 보안 기준, 로그·모델접근 통제, 국외 이전 점검, 정부망-클라우드 구간 분리가 전제돼야 한다.
더 이상 소셜미디어 ‘인플루언서’에 현혹되어 ‘쇼타임’에 국가가 동원되는 우를 범하지 않기를 바란다. 한국은 위기에서 우리만의 독창적인 기획과 제도를 설계해 돌파할 때 가장 강했다. '사이버 전담부처 + 범부처 컨트롤타워'로 책임·속도·전문성을 단일화할 때다. 지금 당장 움직여야 한다. 지체는 곧 위험이다.
☞ 네이버 뉴스스탠드에서 ‘미디어스’를 만나보세요~ 구독하기 클릭!