공공 생성형 AI, '구독'에서 '구축'으로…보안 문제로 도입 기준 바뀐다

조달청 '업무망 독립 운영' 조건 명시…외부 상용 의존형 넘어 구축형으로

NIPA ISMP·TIPA ISP 추진…기관별 설치 위치·권한·연계 범위부터 설계

가스공사 '내부는 전용, 외부는 상용' 분리 운용…서울시 내부망 LLM 도입

 

공공기관의 생성형 인공지능(AI) 도입이 챗GPT 등 외부 상용 서비스 의존 방식에서 벗어나, 업무망 안에서 통제 가능한 전용 환경 확보 방향으로 옮겨가고 있다. 반‧출입 통제와 접근 권한 관리가 필수로 붙고, 업무망은 외부 접속이 제한돼 상용 서비스 의존만으로는 다양한 문제가 발생할 수 있기 때문이다.
 
3일 조달청·나라장터 공고에 따르면, 정보통신산업진흥원은 ‘생성형 AI 시스템 구축을 위한 ISMP(도입 설계)’ 용역을 조달 절차로 추진 중이다. 생성형 AI를 기관 내부에서 운용하기 위한 설치 위치, 연계 범위, 접근 통제 같은 운영 기준을 설계하는 단계다.
 
중소기업기술정보진흥원도 ‘제조 AI 24 플랫폼’ 구축을 위한 ISP(도입 설계) 용역을 조달 공고로 내걸었다. 공공 제조 분야에서도 생성형 AI 도입을 ‘외부 서비스 접속’이 아니라 ‘업무망 내부 운영 설계’로 시작하겠다는 취지다.
 
조달 규칙은 더 직접적이다. 조달청은 ‘생성형 AI 업무 지원 서비스’ 조달 공고에 공공기관이 업무망에서 생성형 AI를 쓰려면 독립 운영 가능한 형태여야 한다는 조건을 내걸었다. 외부 상용 서비스에 접속하는 방식만으로는 공공 구매 요건을 맞추기 어렵고, 업무망 안에서 독립적으로 설치·운영할 수 있는 형태가 사실상 기준이 됐다.
 

기관 현장에서도 이러한 운영 방식이 확산하고 있다. 한국가스공사는 내부 업무 자료는 업무망 전용 모델에서 처리하고, 외부 자료 분석은 상용 모델을 활용하는 분리 운용 구상을 제시했다. 민감 데이터가 섞이는 순간 외부 서비스 의존형 운용에 제약이 생긴다는 판단이 반영됐다.
 
서울시도 ‘챗봇 2.0’에서 자체 대형언어모델(LLM)을 내부망에 직접 도입하는 것을 공식화했다. 민감한 공공데이터는 내부망 독립형 인프라에서 처리하는 구상을 전면에 내세우며, 공공행정 전반의 AI 전환을 ‘외부 서비스 호출’이 아닌 ‘내부망 운영’으로 방향을 잡고 있다.
 
이 전환은 성능 경쟁이 아니라 책임 구조의 변화에 가깝다. 공공 업무에서 생성형 AI가 내부 문서와 결합하면 결과물 생성 과정이 곧 감사 대상이 된다. 누가 어떤 자료를 입력했고, 어떤 근거로 어떤 결과가 나왔는지 기록과 추적이 가능해야 한다. 오류나 왜곡이 발생했을 때도 책임 소재를 명확히 할 수 있는 운영 체계가 먼저 요구된다. 외부 상용 서비스 의존형 도입은 데이터 이동 경로와 통제 범위가 불명확해질 수 있고, 업무상 망 분리 환경에서는 상시 운용이 끊길 가능성도 커진다.
 
이 같은 공공 기준은 민간 도입에도 영향을 줄 수 있다. 공공 조달과 사업에서 ‘업무망 독립 운영’이 기본 요건으로 굳어지면, 이를 맞춘 솔루션과 SI(시스템 구축) 패키지가 표준형으로 정리될 수밖에 없다. 내부 데이터 비중이 큰 업종은 공공과 유사한 통제 요구를 먼저 받는 경우가 많아, 공공에서 먼저 자리 잡은 운영 방식이 민간의 도입 설계로 이어질 여지도 커진다.
 
SI업계 관계자는 “공공 조달에서 ‘업무망 독립 운영’ 같은 조건이 요건으로 정리되면, 공급사는 그 구성을 기본 패키지로 설계할 수밖에 없다”며 “공공에서 굳어진 운영 방식이 민간의 도입 설계로 이어질 가능성이 있다”고 말했다.