[김승주 교수 칼럼] 정보기관의 클라우드 보안인증 독점, AI 시대엔 위험하다

AI 요약

고려대학교 정보보호대학원 김승주 교수는 클라우드 보안인증 제도(CSAP: Cloud Security Assurance Program)를 정보기관이 독점하도록 하자는 의견들이 있다고 전했습니다. 글로벌 표준은 권한의 분산을 지향하며 미국의 FedRAMP는 정부가 민간 클라우드를 공공 분야에서 활용하기 위해 보안성을 평가·인증하되 NSA는 기술적 권고와 가이드라인만 제공하고 인증 권한을 전담하지 않는 체계입니다. 기사에서는 정보기관 중심의 인증 체계가 정책 수립·기준 설정·심사·사후 통제 권한을 한 기관에 집중시켜 AI 혁신 지연, 이해충돌, 기업 불신과 시장 고립 등의 구조적 위험을 초래할 수 있으므로 보안 정책·평가·인증·운영을 분리하고 정보기관은 기술적 자문과 위협 인텔리전스 제공에 집중해야 하며, 대통령직속 국가인공지능전략위원회의 '대한민국 AI 행동계획 2026'과 이탈리아 해킹팀 사건을 근거로 독점의 부합성을 따져봐야 한다고 지적합니다.