디지털 안전과 탄력성 [김윤명의 AI 웨이브]

김윤명 디지털정책연구소장

‘끊기지 않는 나라’ 위한

디지털 회복력법의 필요

전기는 잠깐 꺼져도 도시가 멈춘다. 우리 일상의 판박이인 디지털은 더하다. 결제·물류·의료·행정·교육·통신이 한순간 멎으면 피해는 가장 약한 고리부터 번진다. 정부나 기업은 해킹을 막는 보안에 익숙하지만, 멈추지 않게 하는 능력인 회복력(Resilience)을 법의 언어로 제대로 담아내지 못했다. 이에 제안한다. 이름 그대로 (가칭) ‘디지털서비스 안전 및 회복력 확보를 위한 법률’의 제정이다. 약칭으로 ‘디지털 회복력법’이라 부르자.

몇 년 전 판교 데이터센터 화재로 민간의 부실한 대응을 보았다면 공공의 ‘국가정보자원관리원 사태’에서 보듯 오늘의 위험은 기술 문제가 아니라 구조적 문제이다. 데이터센터 한 곳의 화재·전력·냉각 이슈가 국가적 장애로 번지고, 클라우드·망·전력·해저케이블의 상호의존이 도미노 효과를 낸다. 인공지능과 디지털 기술을 활용한 서비스는 편의를 가져왔지만, 사이버와 현실의 복합적인 위험을 일상화하고 있다. 정부의 내부통제만으로는 공공서비스의 안전을 담보하기 어렵다는 점을 확인했다. 국가 차원의 최소 의무와 공적 감독, 투명한 정보 공유가 필요하다. 이를 위한 공공부문의 전문성 확보와 공공 클라우드를 확대할 필요가 크다는 점을 확인했다.

‘디지털 회복력법’의 목표는 세 가지로 정리할 수 있다. 첫째, 예방을 통한 단일 장애지점을 줄이고 이원화·대체 경로를 갖춘다. 둘째, 대응을 통한 중대한 장애를 빠르고 투명하게 알리고 함께 대응한다. 셋째, 복구를 통한 정해진 시간과 시점 안에 정상화한다. 사고나 장애의 완벽한 통제는 불가능한 영역일 수 있다. 대신, 사전 안전조치와 사후 복구를 얼마나 빨리 하느냐는 디지털 탄력성 확보가 관건이다.

무엇보다 ‘디지털 회복력법’은 규제가 아니라 디지털 서비스의 빠른 복구를 위한 법이어야 한다. 과잉규제를 피하려면 핀셋이 필요하다. 사회·경제에 파급효과가 큰 서비스를 ‘중요 디지털서비스’로 지정하고, 등급으로 나눠 의무 강도를 달리하는 것이다. 예를 들면, 금융결제, 응급·의료, 통신·전력, 대국민 행정, 대규모 커머스·물류, 대형 클라우드·협업·교육 플랫폼이 여기에 해당한다. 핵심 서비스에는 다중 지역·가용영역, 전력·망 이원화 같은 설계 원칙을 요구한다. 공공과 민간을 동일한 영역에 놓되 비례성과 기술중립성을 원칙으로 삼는다. ‘디지털 회복력법’의 핵심 내용은 복잡하지 않다. 첫째, 연속성 지표의 의무화다. 가용성과 복구시간 목표(RTO), 복구시점 목표(RPO)를 등급별로 설정·공시한다. 말뿐인 ‘무중단’이 아니라 수치로 약속하도록 한다. 둘째, 모의훈련과 스트레스 테스트다. 카오스 엔지니어링처럼 실제 복원력을 검증하는 시험을 성과로 인정한다. 셋째, 공급망·서드파티 리스크 관리이다. 공공기관은 보안을 이유로 경쟁력있는 클라우드 도입을 지양하고 있다. 전문클라우드 기업이 오히려 탄력성이 있으나, 차선으로 민관협력 PPP형 클라우드를 확대하는 것도 방법이다. 넷째, 데이터 이동성과 락인 완화이다. 핵심 데이터·로그는 표준 포맷으로 백업하고, 필요시 핫·웜 스탠바이로 전환 가능해야 한다. 복구 과정에서도 암호화·접근통제·키관리를 유지해 정보보호와 회복력을 이중으로 확보할 수 있도록 한다. 마지막으로, 책임도 분명해야 한다. 클라우드사업자와 기업이나 기관의 공동책임 모델을 법률·표준계약으로 명문화한다. 사고조사를 위한 독립적인 조사위원회가 원인과 교훈을 공개하고, 결과는 공통 학습으로 환류한다. 실패에서 배우는 시스템이 곧 회복력의 핵심이기 때문이다. 다만, 조사위원회는 회복을 방해해서는 않된다.



전반적인 상황을 다룰 거버넌스도 정비할 필요가 있다. 디지털 서비스의 안전 및 회복을 위한 거버넌스는 중앙정부, 지방정부 및 민간을 아우를 수 있어야 한다. 국무총리 산하 디지털안전위원회를 상설화해 컨트롤타워로 삼고, 해저케이블·국가 백본·전력 연계 같은 ‘보이지 않는 병목’을 주기적으로 점검하고 국가전략적 투자를 해야 한다. 한 번의 사태가 남긴 사회적 비용과 신뢰 훼손을 생각하면, 지금의 투자가 더 저렴하다. ‘비용’이 아니라 ‘보험료’로 생각할 일이다.

입법은 사업자나 기관을 옥죄려는 것이 아니다. 국가 신경망을 끊기지 않게 하는 사회적 약속이다. 끊김 없이 돌아가고, 사고가 나도 빨리 일어서는 나라, 그 상식을 법으로 만들 때이다. 디지털 대전환기, 안전과 회복력은 선택이 아니라 국민의 디지털 기본권을 위한 인프라이다. 그것이 AI 기본사회를 위한 초석이라고 본다.