이 기사의 핵심 내용은?

싱가포르 정부기술청(GovTech Singapore)은 안전한 공공 AI 통합을 위해 설계 단계부터 보안을 고려하는 프레임워크를 채택했다. 정적인 체크리스트 방식의 규제를 자동화된 위험 기반 보안 테스트로 전환했다. 에이전틱 AI를 활용해 수천 개의 정부 시스템을 실시간으로 감시하며 사이버 보안 역량을 강화하고 있다.

싱가포르 정부기술청의 안전한 공공 AI 전략

•싱가포르 정부기술청(GovTech Singapore)은 안전한 공공 AI 통합을 위해 설계 단계부터 보안을 고려하는 프레임워크를 채택했다.
•정적인 체크리스트 방식의 규제를 자동화된 위험 기반 보안 테스트로 전환했다.
•에이전틱 AI를 활용해 수천 개의 정부 시스템을 실시간으로 감시하며 사이버 보안 역량을 강화하고 있다.

•싱가포르 정부기술청(GovTech Singapore)은 안전한 공공 AI 통합을 위해 설계 단계부터 보안을 고려하는 프레임워크를 채택했다.
•정적인 체크리스트 방식의 규제를 자동화된 위험 기반 보안 테스트로 전환했다.
•에이전틱 AI를 활용해 수천 개의 정부 시스템을 실시간으로 감시하며 사이버 보안 역량을 강화하고 있다.

정부 디지털 인프라가 거대한 변화의 흐름 속에 있다. AI가 단순한 신기술을 넘어 필수 기반 시설로 자리 잡으면서, 각국 공공 부문은 혁신과 국가 안보라는 두 가지 과제를 동시에 해결해야 하는 도전에 직면했다. 싱가포르 정부기술청은 이러한 전환기에 맞춰, 과거의 경직된 규제 체계를 벗어나 AI 생애주기 전반에서 위험을 관리하는 포괄적 전략을 수립했다.

기존의 보안 점검 방식은 시스템 도입 시 일회성으로 수행되는 '체크리스트 준수'에 머물러 있었다. 하지만 싱가포르는 이를 지속적인 보안 검증 모델로 전환하고 있다. 특히 IM8과 같은 내부 정책을 개선하여 시스템 관리자가 각자의 위험 수준에 따라 보안 통제를 최적화할 수 있도록 자율성을 부여했다. 이 과정에서 OSCAL과 같은 기술 프레임워크를 도입해 인간의 보안 요구사항을 기계가 읽을 수 있는 코드로 변환함으로써 보안 프로세스를 자동화했다.

핵심 원칙은 '보안 설계(Security by Design)'다. 이는 디지털 플랫폼 아키텍처를 구성하는 초기 단계부터 안전성을 내재화해야 한다는 의미다. 싱가포르 정부기술청은 PlatformAI와 같은 중앙 집중식 환경을 구축해 공무원들이 내부적으로 검증된 대규모 언어 모델을 안전하게 실험할 수 있도록 지원한다. 이를 통해 민감한 정부 데이터가 외부로 유출되는 위험을 원천적으로 차단하는 샌드박스를 제공하는 셈이다.

또한 소프트웨어 개발 초기에 보안 테스트를 수행하는 'Shift Left' 방법론을 적극 도입하고 있다. AI 기반 코드 리뷰어를 활용해 개발 초기 단계부터 취약점을 발견함으로써 배포 후 발생할 문제를 선제적으로 방지하는 것이다. 더 나아가 사람의 상시 감독 없이 복잡한 작업을 수행하는 에이전틱 AI를 운영하여, 수천 개의 정부 시스템에 걸친 사이버 보안 위협을 실시간으로 모니터링하고 대응하고 있다.

기술적 인프라만큼이나 중요한 것은 공무원과 보안 리더의 역량 강화다. 싱가포르 정부기술청은 전문 교육 과정을 개설하여 디지털 시스템을 설계하는 인력들이 변화하는 보안 위협에 대응할 수 있는 지식을 갖추도록 지원하고 있다. AI가 기술적 난제를 해결하는 중추적인 역할을 담당하더라도, 결국 기술의 윤리적 경계와 전략적 목표를 설정하는 것은 인간 리더십의 몫임을 인지하고 있기 때문이다.

정부 디지털 인프라가 거대한 변화의 흐름 속에 있다. AI가 단순한 신기술을 넘어 필수 기반 시설로 자리 잡으면서, 각국 공공 부문은 혁신과 국가 안보라는 두 가지 과제를 동시에 해결해야 하는 도전에 직면했다. 싱가포르 정부기술청은 이러한 전환기에 맞춰, 과거의 경직된 규제 체계를 벗어나 AI 생애주기 전반에서 위험을 관리하는 포괄적 전략을 수립했다.

기존의 보안 점검 방식은 시스템 도입 시 일회성으로 수행되는 '체크리스트 준수'에 머물러 있었다. 하지만 싱가포르는 이를 지속적인 보안 검증 모델로 전환하고 있다. 특히 IM8과 같은 내부 정책을 개선하여 시스템 관리자가 각자의 위험 수준에 따라 보안 통제를 최적화할 수 있도록 자율성을 부여했다. 이 과정에서 OSCAL과 같은 기술 프레임워크를 도입해 인간의 보안 요구사항을 기계가 읽을 수 있는 코드로 변환함으로써 보안 프로세스를 자동화했다.

핵심 원칙은 '보안 설계(Security by Design)'다. 이는 디지털 플랫폼 아키텍처를 구성하는 초기 단계부터 안전성을 내재화해야 한다는 의미다. 싱가포르 정부기술청은 PlatformAI와 같은 중앙 집중식 환경을 구축해 공무원들이 내부적으로 검증된 대규모 언어 모델을 안전하게 실험할 수 있도록 지원한다. 이를 통해 민감한 정부 데이터가 외부로 유출되는 위험을 원천적으로 차단하는 샌드박스를 제공하는 셈이다.

또한 소프트웨어 개발 초기에 보안 테스트를 수행하는 'Shift Left' 방법론을 적극 도입하고 있다. AI 기반 코드 리뷰어를 활용해 개발 초기 단계부터 취약점을 발견함으로써 배포 후 발생할 문제를 선제적으로 방지하는 것이다. 더 나아가 사람의 상시 감독 없이 복잡한 작업을 수행하는 에이전틱 AI를 운영하여, 수천 개의 정부 시스템에 걸친 사이버 보안 위협을 실시간으로 모니터링하고 대응하고 있다.

기술적 인프라만큼이나 중요한 것은 공무원과 보안 리더의 역량 강화다. 싱가포르 정부기술청은 전문 교육 과정을 개설하여 디지털 시스템을 설계하는 인력들이 변화하는 보안 위협에 대응할 수 있는 지식을 갖추도록 지원하고 있다. AI가 기술적 난제를 해결하는 중추적인 역할을 담당하더라도, 결국 기술의 윤리적 경계와 전략적 목표를 설정하는 것은 인간 리더십의 몫임을 인지하고 있기 때문이다.