[기고] 정보기관의 AI 시스템을 누가 감독할 것인가?

[고려대 정보보호대학원 김승주 교수] 최근 인공지능(AI)은 군과 정보기관의 핵심 도구로 빠르게 자리 잡고 있다. 대규모 데이터 분석, 정보 융합, 사이버 위협 탐지, 자동화된 의사결정 지원 등 다양한 분야에서 AI의 활용이 확대되고 있다. 이러한 기술은 국가안보 역량을 크게 강화할 수 있지만 동시에 새로운 거버넌스 문제를 제기한다.

특히 AI 시스템은 학습데이터의 출처, 개인정보 사용 여부, 알고리즘 편향, 자동화된 판단의 책임성 등 기존 정보시스템과는 다른 위험요소를 포함하고 있다. 따라서 정보기관이 AI를 도입하고 운영할 때 누가, 어떤 방식으로 이를 감독할 것인가라는 질문은 점점 더 중요한 정책 과제로 떠오르고 있다.

고려대 정보보호대학원 김승주 교수

미국, 기존 정보보안 틀 위에 AI 위험관리 더했다

미국의 경우 이 문제를 해결하기 위해 기존 정보보안 거버넌스를 기반으로 한 관리 체계를 운영하고 있다. 연방정부 정보시스템은 기본적으로 Federal Information Security Modernization Act(FISMA)에 따라 보안 관리 프로그램을 운영해야 하며, 모든 정보시스템은 Risk Management Framework(RMF)를 기반으로 보안 통제를 구현하고 사전 검증을 거쳐야 한다.

정보기관 역시 예외가 아니다. National Security Agency(NSA)나 Central Intelligence Agency(CIA)와 같은 기관도 정보기관 공동 보안 규정인 Intelligence Community Directive 503에 따라 RMF 절차를 적용받는다. 이 과정에서 시스템 보안성 평가와 운영 승인(Authorization to Operate)이 이루어지며, 개인정보가 처리되는 경우에는 별도의 개인정보 영향평가 절차도 수행된다.

최근에는 여기에 AI 위험관리 기준이 추가되면서 학습데이터의 출처, 데이터 품질, 알고리즘 위험 등을 함께 검토하는 방향으로 발전하고 있다. 즉 미국은 기존 정보보안 체계를 기반으로 정보보안 → 개인정보 보호 → AI 위험 관리로 이어지는 단계적 거버넌스 구조를 형성하고 있다.

한국, 정보기관 AI 감독 누가 맡을지 제도 설계 시급

반면 한국의 경우 정보기관 AI 시스템에 대한 감독 구조는 상대적으로 명확하지 않다. 한국의 공공 정보시스템은 전자정부법과 국가정보보안 기본지침에 따라 국가정보원이 수행하는 보안적합성 검증을 거치도록 되어 있다.

그러나 이 제도는 주로 일반 행정기관의 정보시스템을 대상으로 하며, 정보기관 자체 시스템에 대한 외부 감독 체계는 제한적이다. 또한 개인정보 보호 측면에서는 개인정보보호위원회가 감독 기관이지만, 국가안보 및 정보활동 영역에서는 적용 범위가 제한될 수 있다.

이러한 구조는 AI 시대에 새로운 정책적 질문을 제기한다. 정보기관이 대규모 데이터와 AI 기술을 활용하여 분석과 의사결정을 자동화할 경우, 그 과정에서 발생할 수 있는 개인정보 침해나 알고리즘 위험을 누가 검증하고 통제할 것인가 하는 문제다.

단순히 정보기관의 자율적 통제에 맡길 경우 외부 견제가 부족하다는 비판이 제기될 수 있고, 반대로 일반 행정기관과 동일한 감독 체계를 적용할 경우 국가안보 활동의 특수성과 충돌할 가능성도 있다.

따라서 앞으로의 정책 논의에서는 두 가지 원칙을 균형 있게 고려할 필요가 있다.

첫째, 국가안보 분야의 특수성을 고려하여 정보기관이 필요한 기술을 신속하게 도입하고 활용할 수 있는 자율성을 보장해야 한다.

둘째, 동시에 AI 시스템이 대규모 개인정보와 민감한 데이터를 처리할 수 있다는 점을 고려하여 최소한의 책임성과 투명성을 확보할 수 있는 거버넌스 장치를 마련해야 한다.

이를 위해 기존 정보보안 체계와 개인정보 보호 제도를 기반으로 AI 위험관리 절차를 추가하는 방식의 제도적 접근이 현실적인 대안이 될 수 있다.

결국 정보기관의 AI 시스템을 누가 감독할 것인가라는 질문은 단순히 기술 정책의 문제가 아니라 민주적 통제와 국가안보의 균형을 어떻게 설계할 것인가에 관한 문제이다. AI 기술이 국가안보 영역에서 점점 더 중요한 역할을 하게 될수록, 이러한 거버넌스 논의 역시 더욱 중요한 정책 과제로 부상하게 될 것이다.