디지털 기술 도입 및 운영에서 발생할 수 있는 디지털 리스크 사전 검증 전담
개인정보 보호와 안전한 데이터 활용, AI 보안, 재난 및 공공안전 등 검증
보안, 눈에 보이는 성과보다 사고가 발생하지 않았을 때 비로소 의미가 드러나는 영역

[보안뉴스 엄호식 기자] 한국정보통신기술협회(TTA)는 1988년 정보통신기술 표준 개발 및 보급과 시험인증 지원을 위해 설립된 법인으로 우리나라 ICT 표준화와 시험인증 발전을 위해 앞장서 왔다. 이러한 TTA에 정보보호와 공공안전 영역의 시험·검증 역량을 하나로 결집해 국가적 관심의 디지털 보안과 안전의 신뢰 기반 제공을 위한 ‘정보보호안전연구소’가 새롭게 신설됐다.


최근 몇 년간 AI의 급격한 확산, 대규모 해킹사고, 복합 재난의 일상화는 보안과 안전을 바라보는 관점을 근본적으로 바꾸어 놓았다. 과거에는 ‘민감 정보를 보호’하거나 ‘정보 유출을 차단’하는 것이 보안의 핵심이었다면, 이제는 디지털 기술의 도입과 운영 전 과정에서 발생할 수 있는 위험을 사전에 검증하고 관리하는 것이 필수 과제가 됐다. 특히 2025년 발생한 대규모 해킹사고와 AI 기반 신종 위협은 전통적인 보안 패러다임의 한계를 명확히 드러내며, 개별적인 시험과 사고 발생 이후의 대응만으로는 고위험·고영향 AI, 디지털 의료, 안전 인프라와 같은 중요 영역의 보안과 안전을 담보하기 어렵다는 판단이 내려졌다.

TTA ‘정보보호안전연구소’는 4개의 정보보호(AI보안기획팀·정보보호기술팀·개인정보보호팀·디지털금융안전팀)와 3개의 공공안전(재난안전팀·공공인프라안전팀·영상보안기술팀) 영역의 시험·검증 역량을 결집해, 국가적 관점에서 단순한 기술 시험·평가를 넘어 디지털 기술의 도입과 운영 전 과정에서 발생할 수 있는 ‘디지털 리스크’를 사전에 검증하기 위한 전담 조직으로 새롭게 구성됐다.


보안 평가 넘어 디지털 리스크 접근
연구소의 가장 큰 차별점은 ‘디지털 리스크 검증’이라는 새로운 개념을 도입했다는 점이다. 기존의 보안 평가가 취약점 점검과 성능 확인에 집중했다면, 연구소는 기술 개발 단계부터 현장적용과 운영까지 전 과정에서 △기술과 시스템의 신뢰성 △개인정보의 안전한 활용 △공공·재난 안전 인프라의 위기 대응 능력을 시험·평가·실증을 통해 미리 검증한다. 특히 단순히 기술적 성능과 취약점만 보는 것이 아니라, 개인정보 오남용이나 AI 악용, 공공 인프라 장애 그리고 법적 리스크까지 함께 고려해 종합적으로 접근한다.

연구소가 중점적으로 다루는 분야는 크게 세 가지다.

①개인정보 보호와 안전한 데이터 활용: 가명·익명·합성데이터의 안전한 활용을 위한 기술지원 체계와 표준화, AI 프라이버시 보호기술 검증 방안 연구

②AI 보안 검증: 생성형 AI, 딥페이크, AI 기반 신원인증 등 새로운 위협에 대응하기 위한 보안시험과 인증 체계 구축

③재난 및 공공안전 검증: 재난문자 고도화, 재난안전통신망, 철도통합무선망(LTE-R) 등 국민 안전과 직결된 시스템에 대한 전주기적 실증과 검증


기술 확산 뒷받침하는 보안의 디딤돌
연구소는 분야별로 나눠진 7개 전문 시험기관을 넘어, 디지털 리스크 종합 검증 허브로 도약하는 것을 중장기 비전으로 하고 있다. AI와 디지털 자산, 공공 인프라, 재난 안전은 서로 다른 영역처럼 보이지만 실제 공격 시나리오에서는 긴밀히 연결된다. 따라서 개별 기술 단위가 아니라 시스템·서비스·정책을 아우르는 검증 체계가 필요하다. 연구소는 국제 동향과 국정 과제에 맞춘 현장 중심 검증을 통해, 보안이 기술 확산의 장애물이 아니라 신뢰 기반의 촉진 요소가 되도록 하는 디딤돌 역할을 자임하고 있다.

“보안은 눈에 보이는 성과보다, 사고가 발생하지 않았을 때 비로소 의미가 드러나는 영역입니다.”

김동호 연구소장의 말처럼, 정보보호안전연구소는 주목받지 않아도 괜찮은 자리에서 기술과 사회 사이의 신뢰를 조용히 지탱하는 역할을 위해 힘쓰고 있다.

Interview 김동호 TTA 정보보호안전연구소 소장
“시험·인증은 국민 생활 안전과 국가 경쟁력을 높이는 신뢰의 기반입니다”


Q. 소장님 소개를 부탁드립니다
저는 1999년 경북대학교 전자공학과에서 박사학위를 취득한 뒤 한국전자통신연구원(ETRI) 네트워크장비시험센터에서 국제 수준의 시험인증 연구를 시작했습니다. 이후 2001년 정부 조직 개편으로 TTA에 합류해 방송통신과 정보보호, 융합기술 등 ICT 분야에서 표준화와 시험인증 업무를 수행해왔습니다.

특히 보안 장비 성능 시험을 계기로 정보보호 분야와 인연을 맺었고, CC 인증 단장을 시작으로 표준화본부와 ICT 융합 연구소, 인재개발본부 등을 거쳐 올해부터 정보보호와 공공안전을 아우르는 연구소의 초대 소장을 맡게 되었습니다. 현재 연구소는 2개단, 7개팀, 약 80명 규모로 운영되고 있습니다.

Q. 연구소가 지향하는 ‘국가 보안과 안전의 신뢰 기반’은 어떤 모습일까요
국민이 디지털 서비스를 이용하면서 불안을 느끼지 않는 사회가 바로 우리가 지향하는 신뢰 기반입니다. 단순히 취약점을 점검하는 수준을 넘어, 설계 단계부터 운영·관리까지 전 주기에 걸쳐 디지털 리스크를 검증하고 있습니다.

궁극적으로는 국제적으로 통용되는 ‘적합성 평가 기관’으로 자리매김해, 디지털 리스크를 선제적으로 대응하고 신뢰를 제공하는 것이 목표입니다.

Q. 연구소의 다양한 서비스 중 국민들이 체감할 수 있는 서비스도 있을까요
연구소의 주요 활동은 기업과 기관을 대상으로 하는 시험·인증이지만, 그 목적은 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 데 있습니다. 특히 모바일 신분증이나 공공 통신망, 재난안전 시스템 등은 국민 생활과 직결되는 분야입니다. 최근에는 AI 서비스와 개인정보 안전 활용 체계 등 국민이 직접 체감할 수 있는 영역에서도 평가 기준을 마련하고 있습니다.

Q. AI 보안 시험 체계 구축의 핵심 포인트는 무엇일까요
저희는 AI 성능을 평가하는 기관이 아니라, AI가 침해와 악용으로부터 안전하게 운영될 수 있는지를 검증하는 보안 평가기관입니다. 그리고 AI 보안의 핵심은 시스템 전반의 신뢰성을 확보하는 것입니다. 이에 AI 학습 데이터 오염이나 추론 과정의 취약점, 공급망 위협 등 모델 생명주기 단계별 보안 요구사항을 정의하고 이를 기반으로 평가 기준과 방법론을 마련하고 있습니다.

Q. 민간 기업이나 대학 등과의 협력도 고려하고 있나요
산업계는 기술 혁신의 최전선에 있고, 학계는 기초 연구와 인재 양성의 중심이기 때문에 긴밀한 협력이 필수라고 생각합니다. 연구소는 시험·평가 기준 개발과 공동 연구, 기술 검증, 인력 교류 등 다양한 방식으로 협력을 진행하고 있으며, 산·학·연·관이 참여하는 개방형 구조를 통해 국가 보안과 안전 수준을 높이는 것을 목표로 하고 있습니다.

Q. 마지막으로 꼭 전달하고 싶은 메시지가 있나요
앞으로의 경쟁력은 단순한 기능이 아니라 ‘신뢰를 설명할 수 있는 능력’에서 나옵니다. 특히 내년부터 EU에서 시행되는 디지털 제품 보안 요구사항은 우리 기업들이 반드시 준비해야 할 과제입니다. TTA와 연구소는 기업이 그 신뢰를 입증할 수 있도록 지원하는 든든한 파트너가 되겠습니다. 시험·인증은 단순한 절차가 아니라 국민 생활 안전과 국가 경쟁력을 높이는 신뢰의 기반이며, 저희는 그 역할에 자부심을 가지고 있습니다.

[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>