[정책 제안] 방산은 되는데, 왜 사이버보안은 안 되는가

By PLURA

— 국가 사이버 안보를 위한 민관 원팀(One Team) 정책 전환 제안

One Team

1. 문제 제기: 같은 국가 안보, 다른 정책 논리

최근 노르웨이에 1조 3천억 원 규모의 ‘천무 풀패키지’ 수출이 성사되었습니다. 언론 보도에 따르면, 계약에는 발사체계뿐 아니라 유도미사일과 종합군수지원 등 ‘풀패키지’ 요소가 포함됐고, 기업은 이를 가능하게 만든 요인으로 정부–기업원팀 세일즈’를 강조했습니다. (경향신문)

이 성과는 단순한 무기 성능이 아니라, 국방부 중심으로 정부와 민간이 하나의 팀으로 움직인 구조가 있었기에 가능했다는 메시지를 던집니다. (경향신문)

그런데 여기서 근본적인 질문이 생깁니다.

왜 방산에서는 가능한 ‘민관 원팀’이 사이버보안 분야에서는 불가능하다고 반복되는가?

사이버 공격은 군사·외교·금융·행정 인프라를 동시에 마비시킬 수 있는 현대전의 핵심 전장입니다. 그럼에도 사이버보안 정책 현장에서는 다음과 같은 말이 관행처럼 반복됩니다.

  • 특정 기업과는 협력할 수 없다
  • 형평성과 공정성 문제로 어렵다
  • 민간과의 긴밀한 협력은 곤란하다

이 논리는 방산의 운영 방식과 정면으로 충돌합니다.

2. 방산은 ‘국방부 중심 원팀’, 사이버보안은 왜 아닌가

방산 분야에서 국방부의 역할은 명확합니다.

  • 국가 안보 관점에서 요구 성능을 정의
  • 정부가 외교·재정·신뢰 자산을 제공
  • 민간 기업은 기술·생산·운영을 책임

이 과정에서 “특정 기업과 일할 수 없다”는 논리는 전면에 서지 않습니다. 오히려 “국가 안보를 위해 가장 준비된 기업과 협력한다”는 것이 상식에 가깝습니다.

반면 사이버보안은,

  • 조달 중심
  • 단기 사업 중심
  • 가이드라인·권고 중심

으로 운영되며, 정부가 정책적 주도권은 유지한 채, 민간 정보보안 기업의 제품·기술과의 ‘실질적 협력(공동 운영·책임·장기 고도화)’만을 제한하는 논리가 반복 적용되는 구조가 지속되고 있습니다.

3. “특정 기업과 협력할 수 없다”는 말의 구조적 문제

사이버보안의 핵심 경쟁력은 문서가 아니라 경험입니다.

  • 실제 침해사고를 탐지·분석·대응해 본 경험
  • 24×365 관제(SOC)를 운영해 본 경험
  • 포렌식, 자동 대응, 위협 헌팅을 끝까지 해 본 경험

이러한 역량은 형식적 입찰과 점수표만으로 완전하게 평가하기 어렵습니다.

“특정 기업과 협력하지 않겠다”는 원칙이 과도하게 적용되면,
결과적으로 어떤 기업과도 깊이 협력하지 않는 운영으로 귀결됩니다.

그 결과,

  • 책임 주체는 불분명해지고
  • 기술은 파편화되며
  • 국가 사이버 방어 역량은 누적되지 않습니다.

4. 해외 사례: 미국은 ‘협력 회피’가 아니라 ‘선정과 통제’를 한다

사실 “정부는 특정 민간 기업과 함께 일할 수 없다”는 접근은 국제 표준이 아닙니다. 미국은 국가 안보 영역에서 민간과의 협력을 ‘회피’하지 않고, ‘절차와 통제장치’로 관리합니다.

4-1) CIA: 민간 기술을 ‘발굴·투자·연결’하는 장치를 보유

미국은 1999년 In‑Q‑Tel을 설립해 민간 기술을 국가 임무와 연결하는 구조를 운영해 왔다고 공식적으로 설명합니다. (IQT)
또한 팔란티어의 투자자/후원 맥락에서 Reuters는 과거 보도에서 CIA의 벤처 조직(In‑Q‑Tel)을 언급한 바 있습니다. (Reuters)

포인트: “민간 협력이 곤란하다”가 아니라, 국가가 필요한 기술을 ‘선정’하고 ‘관계’를 설계합니다.

4-2) 미국 국방부: 핵심 AI/데이터 사업을 ‘장기 계약’으로 추진

미국 국방부는 팔란티어에 Maven Smart System(프로젝트 Maven 관련) 프로토타입으로 알려진 계약을 부여했고, 단독 응찰(sole-source) 절차로 진행됐다는 보도가 있습니다. (Reuters)

포인트: 미국은 “특정 기업과 일할 수 없다”가 아니라, 필요 역량이 확인되면 ‘선정 → 확산’을 택합니다.

4-3) 미 육군: 데이터 플랫폼(Army Vantage)·차세대 표적체계(TITAN)까지 ‘파트너형’ 운용

미 육군은 팔란티어의 Vantage(육군 데이터 플랫폼) 관련 계약을 연장했다는 보도가 있습니다. (Defense News)
또한 미 육군은 TITAN(차세대 정보·표적체계) 프로토타입과 관련해 다른 방식(OTA)을 활용해 10대 프로토타입 개발·인도를 추진하고, 관련 조직이 계약 개요를 공개한 바 있습니다. (PEO IEW&S)

포인트: 공정성은 “협력 금지”로 담보하는 게 아니라, 조달 방식(경쟁/OTA/단독), 단계평가, 책임·감사로 담보합니다.

5. 국내 반례: ‘국가대표 AI 선정’은 이미 “국가가 함께 일할 팀을 고르는 모델”이다

현재 진행 중인 ‘국가대표 AI(독자 AI 파운데이션 모델)’ 프로젝트는 정부가 공모·평가를 통해 함께 일할 정예팀(컨소시엄)을 선정하고, GPU·데이터·인재 등 자원을 패키지로 지원하는 구조입니다.

  • 과학기술정보통신부는 “Sovereign AI Foundation Model” 프로젝트에 5개 정예팀을 선정했다고 공식 발표한 바 있습니다. (정보통신기획평가원)
  • 또한 정부는 단계 평가 체계를 운용하며 평가 방식과 결과를 브리핑 형태로 공개했습니다. (정책브리핑)
  • 정부 채널에서도 2027년까지 지원 규모, GPU/데이터/인재 지원 등의 패키지 지원 방향이 소개된 바 있습니다. (공감)

정책적 결론은 단순합니다.

이미 AI 분야에서는 “국가가 함께 일할 팀을 선정한다”는 모델을 채택했는데,
사이버보안만 ‘특정 기업과는 협력할 수 없다’는 논리를 기본값으로 둘 이유가 없다.

즉 쟁점은 “협력이 가능/불가능”이 아니라,
공정성과 책임을 담보하면서도 실질 성과를 내는 ‘협력 모델을 설계할 의지와 제도’가 있는가입니다.

6. 정책 제안 ①

사이버보안을 ‘국방부급 국가 안보 영역’으로 재정의

  • 사이버보안을 ICT·행정 영역이 아닌 국가 안보 핵심 축으로 공식 격상
  • 중장기 국가 사이버 방어 전략 과제로 관리
  • 방산과 동일한 수준의 정책 일관성 확보

7. 정책 제안 ②

사이버보안 분야에 ‘민관 원팀 모델’ 공식 도입

방산에서 검증된 구조를 사이버보안에 적용해야 합니다.

  • 정부

    • 국가 사이버 위협 모델과 성과 기준(탐지·대응·복구)을 정의
    • 대외 협력(G2G) 및 국가 신뢰 자산 제공

  • 민간

    • 기술 구현, 운영, 실전 대응 책임
    • 관제·대응·교육까지 포함한 실행 주체

❌ “특정 기업과 협력 불가”
✅ “공정한 절차로 선정하되, 선정 이후에는 원팀으로 운영

8. 정책 제안 ③

사이버보안 ‘풀패키지’ 국가 모델 구축

천무 수출의 핵심은 무기가 아니라 풀패키지였습니다. (경향신문)
사이버보안도 다음을 하나의 패키지로 접근해야 합니다.

  • 보안 솔루션
  • 국가·공공 SOC 운영 모델
  • 침해사고 대응(IR) 체계
  • 교육·훈련 및 인력 양성
  • 장기 고도화 로드맵

이는 단일 제품 조달만으로는 불가능하며, 정부 주도 + 민간과의 장기 협력을 전제로 설계되어야 합니다.

9. 정책 제안 ④

‘국가대표 보안’(Security Champion) 선정: AI처럼 “함께 일할 팀”을 뽑자

AI에서 이미 하고 있는 모델을 보안에도 적용합니다.

  • (1) 2~3개 컨소시엄/정예팀을 선정해 공공 핵심 인프라에 선제 적용
  • (2) 단계평가(성능·운영·비용·사용성)를 통해 축소/확대
  • (3) 레퍼런스가 쌓이면 G2G 기반 수출 패키지로 확장

여기서 중요한 원칙은 “특정 기업 배제”가 아니라,
선정–운영–감사–확산의 절차를 설계해 ‘협력의 리스크’를 관리하는 것입니다.
AI 프로젝트가 이미 단계평가와 투명성 강화를 시도하는 것처럼, (정책브리핑) 보안도 그렇게 하면 됩니다.

10. 기대 효과

구분 기대 효과
국가 안보 사이버 공격에 대한 선제·통합 방어 체계 구축
산업 경쟁력 K-시큐리티 실증 레퍼런스 축적 및 고도화
수출 전략 G2G 기반 사이버보안 ‘풀패키지’ 수출 가능
정책 정합성 방산–AI–사이버보안의 국가 협력 논리 일관성 확보

11. 결론: “협력 불가”가 아니라 “협력 설계”의 문제다

노르웨이 천무 수출이 남긴 교훈은 단순합니다. (경향신문)

국가 안보 사업은 정부가 중심에 서고, 민간과 실제로 협력할 때 성공한다.

그리고 해외(미국)와 국내(AI) 사례는 더 분명히 말합니다.

  • 미국은 정보·국방 영역에서 민간과의 협력을 제도화했고 (IQT)
  • 우리는 AI에서 이미 “함께 일할 팀을 선정”하는 모델을 운영 중입니다. (정보통신기획평가원)

이제 정책 질문을 바꿔야 합니다.

❌ 왜 특정 기업과 일하면 안 되는가?
공정성과 책임을 담보하면서, 국가 사이버 안보를 위해 누구와 어떻게 ‘원팀’으로 일할 것인가?

방산에서 증명된 민관 원팀 모델, 그리고 AI에서 실행 중인 국가대표 선정 모델
이제는 사이버보안에서도 정책의 기본값으로 만들 때입니다.

참고 자료 (출처)

  • ‘천무 풀패키지’ 노르웨이 계약 및 “원팀 세일즈” 관련 보도. (경향신문)
  • In‑Q‑Tel 공식 소개(1999년 CIA가 설립한 독립 비영리 전략투자기관). (IQT)
  • Reuters: 팔란티어와 CIA 벤처 조직(In‑Q‑Tel) 관련 언급 보도. (Reuters)
  • Reuters: Maven Smart System(프로젝트 Maven 관련) 계약 보도. (Reuters)
  • Vantage(육군 데이터 플랫폼) 계약 연장 보도. (Defense News)
  • TITAN(OTA 기반) 계약 개요(미 육군 공식/전문 매체). (PEO IEW&S)
  • 과학기술정보통신부: Sovereign AI Foundation Model 프로젝트 5개 정예팀 선정 발표. (정보통신기획평가원)
  • 정부 브리핑: 독자 AI 파운데이션 모델 프로젝트 단계평가 운영 및 결과 공개. (정책브리핑)
  • 정부 채널(공감): 국가대표 AI 지원 패키지(예산·GPU·데이터·인재) 소개. (공감)

📖 함께 논의하기

Tags