(보안전문 행정사) 방위산업·국가핵심기술 R&D 물리적 망분리 예외 적용 가이드

"AI를 개발하라면서 인터넷을 끊으라니요? 셰프에게 불 없이 요리하라는 것과 뭐가 다릅니까?"

 

최근 방산 및 국가핵심기술 R&D 과제에 선정된 한 AI 기업 대표님께서 저를 찾아와 토로하신 첫마디입니다.

정부 R&D 과제 수주는 분명 축하할 일입니다. 하지만 기쁨 뒤에는 '물리적 망분리'라는 거대한 규제의 장벽이 기다리고 있습니다.

 

연구원들이 깃허브(GitHub)에서 코드를 찾고, 허깅페이스(Hugging Face) 모델을 테스트하고, ChatGPT로 디버깅을 해야 하는데, 보안 규정은 "모든 인터넷 선을 뽑으십시오"라고 명령합니다.

 

결국 울며 겨자 먹기로 책상마다 PC를 두 대씩 놓고, 네트워크 공사에 수천만 원을 쏟아붓습니다. 이 비효율과 비용, 정말 피할 길이 없는 걸까요?

 

아닙니다. 길은 있습니다.

 

오늘 테미스가 남들은 모르는 법령의 '숨겨진 비상구'를 열어드립니다. 인터넷을 끊지 않고도 보안 규정을 100% 충족하며 AI를 자유롭게 쓸 수 있는 합법적 전략, 지금 공개합니다.

I. AI 도입을 가로막는 '망분리 규제'의 실체

정부 R&D를 수행하는 기업은 과제의 성격에 따라 다음 두 가지 법적 의무 중 하나(또는 둘 다)를 적용받을 수 있기에 이 구조를 정확히 알아야 해법이 보입니다.

 

1. 국방 R&D 트랙 : 「방위산업기술 보호지침」 (방위사업청)

• 대상: 방위산업기술 보유 및 연구개발 수행 기업(방산업체, 국방벤처기업, 방산혁신기업 등)
• 핵심 규제: 「방위산업기술 보호법」 제13조 및 동법 지침 제30조에 따라 관리대상기술 관련 망의 "인터넷 등 외부망 연결 차단(물리적 분리)"을 강력하게 의무화하고 있습니다.
• 현장의 오해: 이 조항에는 '예외 단서'가 없기 때문에, 실무자들은 "방산 과제를 하려면 무조건 인터넷을 끊어야 한다"고 단정 짓습니다.

2. 국가핵심기술 트랙 : 「산업기술보호지침」 (산업부)

• 대상: 반도체, 배터리, AI 등 국가핵심기술 보유 및 연구개발 수행 기업
• 핵심 규제: 「산업기술의 유출방지 및 보호에 관한 법률」 제10조 및 동법 지침 제12조에 따라 '국가핵심기술 보호조치(통신 차단)'를 의무화하며, 통상적으로 망분리를 권고받습니다.

결과적으로 기업은 "비용 폭탄(이중 네트워크 공사)"과 "생산성 저하(AI 불능)"라는 이중고를 겪게 됩니다.

방산보안, 산업보안 물리적 망분리 - 행정사 사무소 테미스 02-6140-2002

 

II. 지침과 훈령의 '연결고리(Link)'를 활용하라

많은 기업이 '물리적 망분리'라는 단어 앞에서 지레 포기합니다. 하지만 행정법률의 기본 원리인 '법령의 위계와 준용'을 활용하면 해법이 보입니다.

1. 방산 분야 해법 : "지침에서 훈령으로 넘어가는 다리"

「방위산업기술 보호지침」 제30조는 "외부망과 연결 차단"을 명시하고 있어 예외가 없어 보입니다. 하지만 제32조의2가 상위 규정인 국방부 훈령(방위산업보안업무훈령)으로 가는 길을 열어줍니다.

Step 1. 연결고리 확인 (방위산업기술 보호지침 제32조의2)

"이 지침 제5장(정보보호)에서 정한 것을 제외하고는 「방위산업보안업무훈령」 제5장(정보통신 보안)을 따른다."

Step 2. 특례 적용 (방위산업보안업무훈령)

훈령은 물리적 분리를 원칙으로 하되, 국군방첩사령부 등의 보안측정을 통해 안전성이 검증된 경우(적합 판정 시) 시스템을 운용할 수 있는 절차를 마련해 두고 있습니다.

 

핵심 전 략: 지침에 직접적인 예외가 없더라도, 제32조의2를 근거로 상위 훈령의 '보안측정 절차'를 밟아 합법적인 승인을 받아내는 것입니다. 단, 이를 위해서는 완벽한 무결성 입증이 필수입니다.

2. 산업기술 분야 해법 : "보호조치의 유연성 활용"

「산업기술의 유출방지 및 보호에 관한 법률」 및 관련 지침

"기술의 특성과 기업의 보안 환경을 고려하여, 물리적 망분리에 준하는 보안 조치(암호화, 접근통제 등)를 취한 경우 적절한 보호 조치로 인정된다."

 

핵심 전략 : 무조건 선을 뽑는 것이 능사가 아닙니다. '논리적 망분리(VDI)' 시스템을 구축하고 "이 시스템은 물리적으로 분리된 것만큼 안전합니다"라는 것을 행정적·기술적으로 입증해낸다면, 합법적으로 AI와 인터넷을 사용할 수 있는 길이 열립니다.

방산보안 및 산업보안 정보보호시스템 구성도(안) - 행정사 사무소 테미스 02-6140-2002

 

 

III.  보안측정 승인을 위한 'Two-Track' 솔루션

그렇다면 어떻게 승인을 받아야 할까요? 무작정 "다 풀어달라"고 하면 100% 거절당합니다. '지킬 것'과 '풀 것'을 명확히 나누는 전략적 접근이 필요합니다.

1. Track A : 핵심 자산 "타협 없음, 물리적 분리"

• (방산) 군사기밀(Ⅱ·Ⅲ급), 핵심 방위산업기술 소스코드 및 설계도.
• (산업) 국가핵심기술의 핵심 공정 레시피 등 '기술의 정수'.
• 전략 : 이 영역은 국가 안보 및 국익과 직결되므로 가장 보수적으로 접근해야 합니다. "핵심 자산은 기존 원칙대로 폐쇄망(인터넷 차단)에 보관하겠습니다"라고 선을 그어 신뢰를 확보하십시오.

2. Track B : 연구 지원 "VDI로 AI 활용"

• 대상 : 일반 행정문서, 기초 연구 자료, 민수 겸용 기술, 대외비급 일반 자료. (다만, 방산 및 방산관련업체의 경우 보안성검토가 반드시 선행되어야 합니다.)
• 전략 : 여기가 승부처입니다. "이 영역은 지침 제32조의2 및 상위 훈령에 근거하여, 보안측정을 통과한 VDI(논리적 망분리) 환경에서 효율적으로 다루겠습니다"라고 설득해야 합니다.
• 효과 : 승인을 받으면 연구원들은 VDI 창을 통해 챗GPT 등을 활용하고 깃허브를 검색하며, 동시에 내부망에서 연구 개발을 효율적으로 지속할 수 있게 됩니다.

IV. 결론 및 FAQ

새롭게 국가 R&D에 진입하는 기업들에게 방산보안과 산업보안분야는 넘기 힘든 거대한 장벽처럼 보입니다. 하지만 정확한 법령 해석(지침과 훈령의 연결고리 활용)과 치밀한 보안 입증 전략이 있다면, 그 장벽은 경쟁사가 쉽게 따라오지 못하는 귀사만의 '진입 장벽'이 될 것입니다.

 

"남들은 PC 두 대 놓고 씨름할 때, 우리 회사는 VDI 승인받고 편안하게 AI로 연구한다."

 

이 압도적인 효율의 차이, 행정사 사무소 테미스가 설계해 드리겠습니다. 복잡한 규정 때문에 R&D 효율을 포기하지 마십시오. 가장 안전하고 합리적인 길을 안내해 드리겠습니다.

 

[자주 묻는 질문 (FAQ)]

Q1. 방산 과제인데 정말 '물리적 망분리'를 안 해도 되나요?

A. 네, 가능합니다. 앞서 설명드린 대로 방위산업보안업무훈령상의 '보안측정'을 통해 안전성을 검증받으면, 물리적 망분리에 준하는 논리적 망분리(VDI) 사용 승인을 받을 수 있습니다.

 

Q2. VDI 구축 비용이 너무 비싸지 않나요?

A. 초기 구축비는 들지만, PC 2대 지급, 네트워크 공사비, 사무실 면적 증가 등 물리적 망분리에 들어가는 숨은 비용과 비교하면 장기적으로 훨씬 경제적입니다. 무엇보다 AI 활용을 통한 연구 효율성 증대는 비용으로 환산할 수 없는 가치입니다.

 

Q3. 보안측정에서 불합격하면 어떻게 하나요?

A. 그래서 '사전 준비'가 핵심입니다. 테미스는 관련 규정을 완벽하게 분석하여, 통과하실 수 있도록 끝까지 책임집니다.