美 NIST, AI 보안 프레임워크 초안 공개… '책임 있는 도입' 기준 제시

미국 국립표준기술연구소(NIST)가 인공지능(AI)의 안전한 도입을 위한 사이버보안 프레임워크 초안을 공개했다. ‘사이버 AI 프로파일’이라는 명칭의 이 초안은 현재 개정 중인 ‘NIST 사이버보안 프레임워크 2.0(CSF 2.0)’의 구성체계를 기반으로 하며, AI 특유의 위협 요소를 고려한 실무 지침을 제시한다.

이번 초안은 CSF 2.0의 중심 역할인 '거버넌스', '식별', '보호', '탐지', '대응', '복구' 등 6개 기능을 유지하면서 AI 기술에 특화된 적용 방향을 추가했다. NIST는 이 초안을 통해 조직이 변화하는 위협 환경 속에서도 AI를 전략적으로 활용할 수 있도록 설계했다고 밝혔으며, 이는 기존의 AI 위험 관리 프레임워크나 연방 보안 기준을 대체하기보단 보완하는 개념이다.

구체적으로 이 프로파일은 ▲AI 인프라, 모델, 데이터 파이프라인 등 구성요소 안전 확보(Secure), ▲AI 기술을 활용한 사이버 방어 강화(Defend), ▲AI를 기반으로 한 공격 시나리오에 대응하는 복원력 강화(Thwart)라는 세 가지 영역으로 구성된다. 각 영역은 AI 기술이 사이버보안 체계에 미치는 영향을 정밀 진단함으로써 실무 적합성을 높였다.

NIST는 “AI는 산업 혁신을 이끄는 핵심 동력으로 자리를 잡았지만, 이에 따른 새로운 보안 과제를 맞고 있다”며 “이번 초안은 AI의 광범위한 도입 과정 속에서 사이버 리스크를 선제적으로 고려할 수 있는 틀”이라고 강조했다. 이번 프레임워크는 6,500명 이상의 전문가가 참여한 1년간의 협업을 통해 개발됐으며, 업계의 의견을 반영한 공개 검토 절차를 거쳐 2026년 1월 30일까지 피드백을 받는다.

다만 보안 업계의 반응은 엇갈렸다. 앱옴니(AppOmni) AI 디렉터 멜리사 루지(Melissa Ruzzi)는 “일부 AI 복합 시스템, 특히 생성형 AI 도구를 결합해 자율적으로 작동하는 시스템에 대한 가이드가 부족하다”며 “AI 보안 초심자에겐 유용하겠지만, 고도화된 적용 사례를 포함시키기엔 아직 미흡하다”고 지적했다.

AI 기술이 점차 복잡해지고 있는 가운데, 이번 NIST 프레임워크가 기업들의 책임 있는 AI 채택을 유도하는 기준선 역할을 할 수 있을지 주목된다. 향후 피드백을 반영한 최종안은 AI 기반 환경의 실질적 보안 확보를 위한 국가 표준으로 자리잡을 가능성이 크다.