제안 배경 및 내용
최근 2026년 4월 촉발된 미토스(mythos) 쇼크는 ai가 자율적으로 제로데이 취약점을 발굴하고 해킹을 수행할 수 있음을 증명함. 미국 주도의 글래스윙 프로젝트 등 현존하는 방어 체계는 취약점 발견 후 소프트웨어 패치를 배포하는 사후 대응에 불과하여, 0.1초만에 시스템을 장악하는 asi 앞에서는 국가 인프라 붕괴를 막을 수 없다고 판단
본 제안 사업은 미 국방부(dod), 국가안보국(nsa), 중앙정보국(cia)의 기밀 통제 및 물리적 격리 교리를 적용, sw 해킹이 성공하더라도 물리적 제어권을 절대 탈취할 수 없도록 제로 트러스트 기반 아날로그 하드웨어 방어망(analog airlock)을 구축하는 사업임, 국민참여예산을 마중물로 한 매칭 펀드 방식을 통해 대한민국 독자적 국가 사이버 안보 강화에 기여하고자함
1. 사업 개요
사업 목적: 자율형 익스플로잇 생성 ai의 인프라 장악에 대비한 오프라인/하드웨어 기반의 비대칭 물리 방어선 구축 및 한국판 글래스윙 신설
사업 기간: 2027. 01 ~ 2029. 12 (총 3년)
총 소요 예산: 총 5,000억 원 (국민참여예산 500억 원 + 부처 본예산 매칭 펀드 4,500억원 예상_예산은 관계부처의 판단으로 증액/삭감 바랍니다.)
주관 부처: 과기부, 국가정보원(사이버안보센터), 국방부, 행정안전부 합동 (보안 무결성을 위해 민간 개입 엄격 배제)
2. 추진 배경 및 필요성
가. 기존 방어 체계(망분리/소프트웨어)의 실패 사례
국가 핵심 인프라는 단 한번의 통제권 상실로도 국가 기능 마비와 사회적 대재난을 초래함, 현재의 소프트웨어 중심 보안망은 침투 불가능을 전제로 한 오만이며, 재난 관리 측면에서 완전히 실패한 모델임
미국 콜로니얼 파이프라인 사태 (2021): it망 해킹이 물리적 가스관 밸브 ot망 연쇄 셧다운으로 이어져 美 동부 연료 45% 마비, 물리적 에어락 부재가 원인 https://biz.chosun.com/international/international_economy/2021/05/10/ojcbiqmi6rdmnoe5ttrmzm4l3q/ https://www.energy.gov/ceser/colonial-pipeline-cyber-incident
이란 나탄즈 원전 스턱스넷(stuxnet) 공격 (2010): 완벽한 망분리 환경에도 제로데이 익스플로잇 침투, 인간의 개입을 통제할 하드웨어 제어기 부재 https://www.hani.co.kr/arti/international/international_general/460950.html
볼트 타이푼(volt typhoon) 사태 (2023-2024): 국가 배후 해커가 라우터 등 인프라 기기에 수년간 잠복, ai는 이보다 수백배 빠른 속도로 보이지 않는 공격을 수행할것 https://www.datanet.co.kr/news/articleview.html?idxno=203727
[ 美 cisa 사이버 보안 권고문 링크 : https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a ]
나. 자율형 익스플로잇의 무기화와 소프트웨어 방어의 종말
2026년 4월, 앤트로픽(anthropic)이 발표한 보안 탐지 모델 미토스(mythos) 프리뷰 결과, ai가 알려지지 않은 제로데이 취약점을 스스로 발굴하고, 익스플로잇을 자동 연계하는 능력이 공식 확인됨 https://red.anthropic.com/2026/mythos-preview/
인간이나 ai 방화벽이 인지하기도 전에 시스템이 장악되므로, 사후 대응(t+1) 방식의 소프트웨어 방어는 수학적으로 무의미함 [베인앤컴퍼니 글로벌 보안 위기 권고 링크 https://www.bain.com/insights/claude-mythos-and-ai-cybersecurity-wake-up-call/ ]
다. 앤트로픽 글래스윙 프로젝트의 본질적 한계 및 기술 주권 위협
현재 글로벌 빅테크 및 美 정부기관이 앤트로픽 주도로 결성한 글래스윙 프로젝트(project glasswing)는, ai로 취약점을 찾아 재빨리 소프트웨어 패치를 배포하는 ai vs ai의 대응에 불과하며 이는 궁극적인 하드웨어 방패가 될 수 없음
특히, 미국 소수 기업만이 독점하는 폐쇄적 소프트웨어 연합체에 대한민국 정부가 접근 권한을 구걸하는 형태는 심각한 디지털 기술 종속 및 안보 주권 훼손을 초래하며 대한민국은 한국형 글래스윙 구축이 시급함
3. 사업 추진의 법적 근거
「정보통신기반 보호법」 제5조 (주요정보통신기반시설의 보호지원): 국가는 주요정보통신기반시설의 교란,마비 방지를 위해 물리적 대책을 수립해야함 https://www.law.go.kr/%eb%b2%95%eb%a0%b9/%ec%a0%95%eb%b3%b4%ed%86%b5%ec%8b%a0%ea%b8%b0%eb%b0%98%eb%b3%b4%ed%98%b8%eb%b2%95
「국가사이버안보 기본규정」 (대통령령) 제9조: 국가정보원장은 사이버 공격 대비 통합 대응체계를 구축해야 함. [법제처 국가법령정보센터]
https://www.law.go.kr/%eb%b2%95%eb%a0%b9/%ec%82%ac%ec%9d%b4%eb%b2%84%ec%95%88%eb%b3%b4%ec%97%85%eb%ac%b4%ea%b7%9c%ec%a0%95
「지능정보화 기본법」제3조 3항 국가 및 지방자치단체와 국민 등 사회의 모든 구성원은 지능정보기술을 개발ㆍ활용하거나 지능정보서비스를 이용할 때 역기능을 방지하고 국민의 안전과 개인정보의 보호, 사생활의 자유ㆍ비밀을 보장한다.
제63조 1항 : 이용자의 생명,신체,명예 및 재산상의 위해 방지
https://www.law.go.kr/drf/lawservice.do?oc=dl_lawinfosearch&target=law&mst=268535&type=html&mobileyn=&efyd=20260122
4. 핵심 사업 내용 및 글로벌 벤치마킹
가. k-pal (한국형 하드웨어 허가 연결 장치) 모듈 개발 및 의무화
벤치마킹: 미 국방부(dod) 핵무기 통제 시스템 pal (permissive action link) 및 이인원칙(two person integrity, tpi)
https://www.esd.whs.mil/portals/54/x-x-documents/dd/issuances/dodm/315002m.pdf
내용: 전력망·금융망의 메인 스위치는 원격 디지털 제어(ip protocol)를 전면 거부하도록 하드웨어 배선을 단락, 고도화된 난수 생성기가 탑재된 아날로그 토큰을 복수의 현장 관제관이 동시에 꽂아야만 물리적 회로가 연결됨. (논리적 해킹의 물리적 종단)
나. 온칩(on-chip) 기반 연산 제한기 법제화
벤치마킹: 국제원자력기구(iaea) 핵연료 사찰 통제 및 최고위 컴퓨팅 거버넌스 [arxiv: hardware-level governance 논문 https://arxiv.org/abs/2604.04712 ]
내용: 대규모 연산 ai 칩 반입시 특정 임계치(flops) 이상 군집화를 감지하면 하드웨어 단에서 연산을 강제 정지시키는 데드맨 스위치 탑재 의무화
다. k-oob (아날로그 우회 감시망) 인프라 부설
벤치마킹: nsa의 oob (out-of-band) 통신 교리 [us patent 10817398b2]
https://www.nsa.gov/press-room/digital-media-center/x-x-document-gallery/igphoto/2002499616/
https://www.nsa.gov/resources/commercial-solutions-for-classified-program/
https://patents.google.com/patent/us10817398b2/en 기술적 실현 가능 증명을 위한 특허 링크 첨부
내용: 인터넷망(ip)과 완전히 분리된 폐쇄형 구리선/극초단파(uhf)/rf망 부설, 해커의 ai가망을 제로데이 공격으로 장악하고 정상 화면을 송출(딥페이크)해도 기계의 물리적 전압/온도를 교차 검증하여 기만전술 원천 차단
라. 한국형 tempest (전자파 차폐 scif 벙커) 신설
벤치마킹: 미 nsa 전자기파 차단 표준 tempest [afman 14-422 (scif 건축 표준)]
https://www.wbdg.org/ffc/af/afman/140422_scif.pdf
내용: 망분리 환경의 에어갭을 우회하는 asi의 측면 채널 공격(열화상, 소음, 전자기파 펄스 조작)을 방어하기 위해, 국가 핵심 인프라를 tempest 규격의 외부 신호 100% 차폐 특수 벙커(scif) 수준으로 보강함
마. 한국판 글래스윙(k-glasswing) 물리-레드팀(physical red-team) 신설
벤치마킹: 미 국방부/nsa의 하드웨어 침투 테스트 및 비밀 안보 연합체 교리
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-059a
내용: 소프트웨어 코드를 공유하는 미국의 글래스윙 연합을 넘어, 국방부/국정원 산하로 물리적 보안 결함만을 찾아내고 검증하는 특수 부대(k-glasswing)를 창설, 이들은 k-pal 및 에어갭 장비가 실제 asi 해킹 우회 공격에 버틸 수 있는지 상시 교차 점검하며 물리적 보안 표준을 동맹국과 선별적으로 공유하는 안보 허브 역할을 수행함
5. 추진 체계
보안의 무결성을 확보하기 위해 불특정 다수의 민간/시민 참여를 엄격히 배제함.
운영 주체: 국가정보원(사이버안보센터), 국방부(사이버작전사령부), 과기부 연합 국가 ai 보안 위원회 운영 및 k-glasswing 배치
6. 소요 예산 (총 5,000억 원)
k-pal 모듈 에어락 r&d/보급_물리적 허가 장치 애어락 소형화 r&d 및 국가 시설 전면 부착
1,500억
ai 연산 하드웨어 통제_gpu on-chip 킬스위치 감사 시스템 및 국가 통제 서버 구축
1,000억
k-oob 인프라 부설_전력/수자원/금융/국방/it 핵심망 물리적 우회 감시선(구리선/rf) 포설
1,000억
tempest 통합 신설
전자기파/열화상 유출 완벽 차단 규격(scif),uhf 관련 신축 및 보강
1,000억
k-glasswing 레드팀 신설_하드웨어 교차 점검 및 아날로그 방벽 침투 테스트용 특수 장비,인력 예산
500억
7. 리스크 매니지먼트 및 컨틴전시 플랜 (위기 대응 계획)
발생 가능 리스크1_초고도화된 자율형 익스플로잇 침투
완화 전략 (risk mitigation)_소프트웨어 탐지 방식을 전면 배제하고, 하드웨어 에어락 적용으로 논리적 익스플로잇 전송 자체 원천 차단
컨틴전시 플랜 (contingency plan)_k-oob 망을 통해 해당 장비군 전체의 전력망을 즉각 강제 물리 절단
발생 가능 리스크2_미국 주도 글래스윙 배제로 인한 보안 사각지대 발생 우려
완화 전략 (risk mitigation)_k-glasswing(한국판 물리적 연합체)을 통한 독자적 물리 방벽 체계 확립으로, 소프트웨어 취약점에 관계없는 절대 방어선 구축
컨틴전시 플랜 (contingency plan)_미국 글래스윙 프로젝트와 '상호 교차 인증' 협정 추진 시, 대한민국의 k-pal 기술을 레버리지로 활용
8. 기대 효과
국가 인프라 생존성 확보: 무한대로 쏟아지는 자율형 제로데이 공격 앞에서도 인프라 마비 방지.
글로벌 안보 표준 선도 및 디지털 식민지화 탈피: 강대국의 소프트웨어 보안 연합(project glasswing)에 의존하지 않고, 세계 최초로 asi 대응 하드웨어 보안 체계(k-glasswing)를 확립함으로써 디지털 기술 종속을 탈피하고 본 제안사업의 성공은 단순한 보안 사고 예방을 넘어, 21세기 기술-지정학(techno-geopolitics)적 패권 경쟁에서 대한민국의 룰 세터(rule-setter) 등극을 의미함
대한민국 기반의 글로벌 안보 표준 주도: k-pal 및 k-oob 물리 방벽 시스템은 asi 시대를 맞이한 전 세계 모든 국가의 인프라에 반드시 도입되어야 할 글로벌 표준이 될 가능성이 있으며 이는 향후 국제사회 논의 및 다자간 사이버 안보 조약 수립시 대한민국이 ai 보안 생태계를 표준화하는 막대한 지정학적/경제적 패권으로 귀결
9. 종합 참고 문헌 및 레퍼런스 링크
[주요 보안 침해 사고 사례]
美 에너지부(doe), "colonial pipeline cyber incident": https://www.energy.gov/ceser/colonial-pipeline-cyber-incident
美 국립표준기술연구소(nist), "stuxnet": https://csrc.nist.gov/glossary/term/stuxnet
美 사이버보안·인프라 보안국(cisa), "prc state-sponsored actors (volt typhoon)": https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
[글로벌 기관 보안 지침 및 ai 위협 경고]
uk ai safety institute (aisi), "our evaluation of claude mythos previews’ cyber capabilities": https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities
anthropic, "mythos preview: red teaming and security capabilities": https://red.anthropic.com/2026/mythos-preview/
bain & company, "claude mythos and the ai cybersecurity wake-up call": https://www.bain.com/insights/claude-mythos-and-ai-cybersecurity-wake-up-call/
[도입 기술의 기관 및 학계 근거]
us dod, dod nuclear weapon system safety program manual (pal 규정)" https://www.esd.whs.mil/portals/54/x-x-documents/dd/issuances/dodm/315002m.pdf
shavit, y., et al. "hardware-level governance of ai compute" (온칩 킬스위치 논문): https://arxiv.org/abs/2604.04712
us dod, scif construction standards (tempest 규격): https://www.wbdg.org/ffc/af/afman/140422_scif.pdf
8. 국민참여예산 부적격 사유(13개 항목) 전면 해소 및 예비타당성
본 제안사업은 관료주의적 트롤링 및 예산 타당성 논란을 원천 차단하기 위해, 국민참여예산 제척 사유를 아래와 같은 해석으로 돌파하고자함
[사유 ①, ⑫ ] 지자체 사무 및 재정사업 부적정 여부: 본 사업은 지자체 사무가 아닌 헌법과 대한민국 법률이 책임져야할 국가 안보 및 사이버 재난 통제 고유 사무이자 최우선 국책 재정사업
[사유 ③, ④ ] 법령 위반 및 법령 개정 선행 여부: 법령 개정이 전혀 필요 없음, 현행 「정보통신기반 보호법」 제5조에 규정된 대책 수립 의무를 정부가 이행하도록하는 지극히 적법한 예산 요구
[사유 ⑤ ] 타당성 및 실현 가능성 부재 여부: 미 국방부(dod) 및 nsa가 최고 기밀 통제에 이미수십 년간 실무 적용 중인 pal, scif 교리를 대한민국 인프라에 이식하므로 실현 가능성이 100% 입증된 모델임
[사유 ⑥ ] 기존 사업과의 차별성 부재 여부: 백신이나 소프트웨어 방화벽을 도입하는 기존 정보보호 사업과 완전히 차별화된, 전력선을 원천 단락시키는 아날로그 하드웨어 구축(k-pal)이라는 차별성을 지님
[사유 ⑧ ] 예비타당성조사(500억 이상) 대상 여부: 5,000억 원 규모의 대형 사업이나,「국가재정법」 제38조 제2항 제1호(국가안보 및 보안 국방 사업) 및 제4호(국가적 재난 예방)에 의거하여, asi에 의한 국가 마비 위협은 초국가적 재난이므로 예비타당성 요건을 완벽히 충족함
[사유 ⑨, ⑩ ] 사적 이익 및 특정 제품 판매 목적 여부: 특정 보안 기업의 제품(솔루션)을 구매하는것이 아님, 국가(과기부/국방부/국정원) 주도로 표준 하드웨어(k-pal)를 독자 r&d하여 범국가 인프라에 배포하는 순수 국가 공공재 인프라 투자임
이 누리집은 대한민국 공식 전자정부 누리집 입니다
