김천시시설관리공단, 생성형 AI 윤리지침 제정...공공부문 AI 거버넌스 강화

핵심 요약

- 김천시시설관리공단, 2026년 생성형 AI 윤리지침 제정으로 공공기관 AI 거버넌스 체계 구축 - 개인정보보호와 정보보안 강화를 통한 시민 신뢰 기반 디지털 행정서비스 제공 목표 - 공공부문의 생성형 AI 활용 확대에 따른 선제적 위험 관리 및 윤리적 활용 기준 마련

주요 내용

김천시시설관리공단이 2026년 6월 생성형 AI 윤리지침을 제정하며 공공기관의 AI 거버넌스 체계 구축에 나섰다. 이번 지침은 ChatGPT, Claude 등 생성형 AI 도구의 업무 활용이 급증하는 상황에서 개인정보보호와 정보보안을 동시에 강화하기 위한 선제적 조치로 평가된다.

김재광 이사장은 "생성형 AI는 업무 혁신의 핵심 도구"라고 강조하며, 효율적 활용과 함께 윤리적 기준 준수의 중요성을 언급했다. 공단은 이번 지침을 통해 AI 활용 과정에서 발생할 수 있는 개인정보 유출, 편향성, 허위정보 생성 등의 위험을 사전에 차단하고, 시민이 신뢰할 수 있는 디지털 행정서비스 기반을 마련할 계획이다.

공공기관의 생성형 AI 윤리지침 제정은 2024년 AI기본법 제정 이후 본격화된 AI 거버넌스 체계 구축의 일환이다. 특히 지방공기업과 시설관리공단 등 시민 밀접 서비스를 제공하는 기관의 경우, AI 활용 시 개인정보 처리 투명성과 알고리즘 책임성 확보가 핵심 과제로 대두되고 있다.

이번 지침 제정은 중앙정부 차원의 AI 윤리 가이드라인을 지역 공공기관 실무에 적용한 사례로, 향후 다른 지자체 산하 기관의 벤치마킹 대상이 될 것으로 전망된다. 공단은 지침 시행과 함께 직원 대상 AI 윤리교육과 모니터링 체계도 병행 운영할 예정이다.

전문가 시각

ISMS-P 관점에서 공공기관의 생성형 AI 윤리지침 제정은 '기술적 보호조치'와 '관리적 보호조치'를 통합하는 선진적 접근이다. 특히 주목할 점은 AI 활용 과정에서 개인정보가 프롬프트(prompt)를 통해 외부 AI 서비스로 전송될 때 발생하는 '의도하지 않은 개인정보 제3자 제공' 위험이다. 공단은 지침을 통해 ① 개인정보 포함 데이터의 AI 입력 금지 ② AI 생성 결과물의 사전 검증 ③ 업무용 AI 도구 지정 및 통제 등의 원칙을 명확히 해야 한다.

실무적으로는 바이브 코딩(Vibe Coding) 환경에서의 보안 취약점 관리가 중요하다. 직원들이 ChatGPT나 GitHub Copilot을 활용해 업무 자동화 스크립트를 생성할 때, AI가 생성한 코드에는 SQL 인젝션, 인증 우회, 하드코딩된 비밀번호 등의 취약점이 포함될 수 있다. 지침은 AI 생성 코드의 보안 검토 절차, 코드 리뷰 체계, 취약점 스캐닝 도구 활용 등을 의무화해야 하며, 특히 시민 개인정보를 처리하는 시스템 개발 시에는 더욱 엄격한 검증 프로세스가 필요하다.

CPPG·ISMS-P 연계 포인트

AI 활용 시 개인정보 제3자 제공 통제: ISMS-P 인증기준 3.2.4(개인정보 제3자 제공)에 따라, 생성형 AI 서비스에 개인정보를 입력하는 행위는 제3자 제공으로 간주될 수 있다. 공공기관은 AI 활용 전 개인정보 비식별화, 사전 동의 확보, AI 서비스 공급자와의 개인정보 처리 위탁계약 체결 등의 법적 조치가 필요하며, 직원 대상 교육을 통해 민감정보·고유식별정보의 AI 입력을 원천 차단해야 한다.

AI 생성 코드의 보안성 검토: ISMS-P 인증기준 2.8.5(보안 취약점 점검 및 조치)는 정보시스템 개발 시 보안 취약점 제거를 요구한다. 바이브 코딩으로 생성된 코드는 인간 개발자가 작성한 코드와 동일한 수준의 보안 검토 대상이며, 특히 OWASP Top 10 취약점(인젝션, 인증 미비, 민감정보 노출 등) 점검이 필수적이다. AI 코드 생성 도구 사용 시 secure coding 가이드라인을 프롬프트에 명시하고, 자동화된 SAST(정적 분석) 도구를 통한 검증 체계를 구축해야 한다.