미 국방부 보안 검토

미국 국방부는 새로운 소프트웨어 조달 정책인 **SW패스트트랙(SWFT)**을 수립하였다. 이 계획은 소프트웨어의 획득, 테스트, 승인 전 과정에 보안을 기본값으로 내재화하는 것을 목표로 한다. 기존 조달 방식이 보안 위험의 사각지대를 만든다는 문제의식에서 출발하였으며, 소프트웨어 코드 구성 요소의 출처, 오픈소스 및 외부 라이브러리 목록, 패치 이력 등을 투명하게 식별하는 체계를 갖춘다.

미국 정보당국은 네트워크나 시스템 침입 차단에 중점을 두던 기존 방식에서 벗어나, 데이터 접근 자체를 보호하는 데이터 중심 보안 모델로 전환하고 있다. 이 모델은 위협 행위자가 네트워크에 접근하더라도 데이터를 복사하거나 파일을 열 수 없도록 제한하는 것이 핵심이다. 또한 정보기관 내 부서별로 수행하던 하드웨어 및 소프트웨어 승인 절차를 중앙 집중화하여 효율성을 높이고 있다.

국방부는 민간 인공지능 기술 의존도가 높아짐에 따라 공급망 보안 문제를 핵심 과제로 다루고 있다. 특히 앤트로픽(Anthropic)과 같은 민간 기업의 AI 모델 도입을 두고 보안 리스크 검토가 진행되었다. 초기에는 국가 안보 위협을 이유로 배제하기도 하였으나, 최신 AI 모델의 방어적 활용 가치를 고려하여 가이드라인을 마련하고 재허용을 검토하는 등 정책적 변화를 보이고 있다.

백악관이 발표한 광범위한 사이버 전략의 일환으로 다음과 같은 행동 축이 제시되었다.

• 적대 세력의 행동 변화 유도
• 상식적인 규제 촉진
• 연방 정부 네트워크 현대화 및 보안 강화
• 핵심 기반시설 보호
• 핵심 및 신흥 기술에서의 우위 유지
• 인재 양성과 역량 강화

미 국방부는 중국과의 군사적 충돌 가능성에 대비해 AI를 활용한 사이버 공격 및 정찰 체계 구축을 추진하고 있다. 이 과정에서 민간 기업에 AI 기술 접근 및 운용 재량 확대를 요구하고 있으나, 일부 기업은 자사 모델이 대규모 감시나 완전 자율 무기 개발에 사용되는 것에 반대하며 국방부와 이견을 보이기도 한다.