AI가 폭발적으로 성장하는 시대, 누가 그 표준을 만드는가? 미국의 국립표준기술연구소 NIST(National Institute of Standards and Technology)가 그 역할을 하고 있다. 양자 내성 암호화 표준, AI 위험 관리 프레임워크, 사이버보안 가이드라인—2025~2026년 AI 안전성과 보안의 글로벌 기준은 대부분 NIST에서 출발한다.
개요
NIST는 미국 상무부 산하 비규제 연방기관으로, 1901년 설립됐다. 원래는 측정 표준(무게, 길이, 전기 등)을 담당했지만, 지금은 사이버보안·AI·양자기술·바이오기술 등 첨단 기술 분야의 표준 및 가이드라인 개발 기관으로 변모했다. NIST의 표준은 법적 강제력은 없지만, 미 연방정부 조달과 민간 기업 관행에 사실상의 강제력을 갖는다. 전 세계가 참조하는 사이버보안 프레임워크(CSF)의 원천이다.
AI 위험 관리 프레임워크 (AI RMF)
2023년 1월 NIST는 AI 위험 관리 프레임워크(AI RMF 1.0)를 발표했다. 이는 AI 시스템의 신뢰성·안전성·편향성·투명성 등을 체계적으로 관리하기 위한 자발적 지침이다. 핵심 구조는 4개 함수—거버닝(Govern), 매핑(Map), 측정(Measure), 관리(Manage)—로 구성되며, 기업들이 AI 생애주기 전반에 걸쳐 리스크를 식별하고 완화할 수 있도록 안내한다. 미국 정부 기관뿐 아니라 금융, 의료, 제조업 등 민간 부문에서도 AI 거버넌스의 기준점으로 활용되고 있다.
AI 사이버보안 프레임워크 (2025~2026)
2025년 12월 16일, NIST는 "AI를 위한 사이버보안 프레임워크 프로파일(NISTIR 8596)" 예비 초안을 공개했다. 이는 기존 CSF 2.0을 AI 시대에 맞게 확장한 것이다. 45일간의 공개 의견 수렴 기간(2026년 1월 30일 종료)에 6,500명 이상이 참여했다. 초안은 세 가지 초점 영역으로 구성된다:
1. '''AI 시스템 보안(Secure AI)''': AI를 도입하는 조직이 직면하는 사이버보안 과제 관리. 예: 전력망 AI, 고객 서비스 AI의 보안 요구사항.
2. '''AI 기반 사이버 방어(AI-Enabled Cyber Defense)''': AI를 활용한 위협 탐지 및 대응.
3. '''AI 기반 사이버 공격 대응(Countering AI-Enabled Attacks)''': AI를 무기화한 공격에 대한 방어.
양자 내성 암호화 표준
NIST가 AI 분야 못지않게 주목받는 영역이 양자 내성 암호화(Post-Quantum Cryptography, PQC)다. 양자 컴퓨터의 발전으로 현재 인터넷 보안의 근간인 RSA, ECC 암호화가 깨질 위험이 있기 때문이다. NIST는 수년간의 표준화 과정을 거쳐 2024년 CRYSTALS-Kyber(ML-KEM), CRYSTALS-Dilithium(ML-DSA), SPHINCS+(SLH-DSA) 등 양자 내성 알고리즘을 공식 표준으로 채택했다. 금융권, 정부기관, 국방부 등은 이 표준으로의 전환을 서두르고 있다.
사이버보안 프레임워크 (CSF)
NIST CSF는 2014년 첫 발표 이후 전 세계 기업의 사이버보안 전략의 사실상 표준이 됐다. 2024년 2월 CSF 2.0이 출시되었으며, 거버넌스(Govern) 함수가 추가됐다. CSF 2.0은 6개 함수—거버넌스, 식별, 보호, 탐지, 대응, 복구—로 구성된다. 한국 금융보안원, KISA 등도 이를 참조하여 국내 사이버보안 지침을 수립하고 있다.
한국과의 관계
한국은 NIST 표준의 영향을 강하게 받는다. 한국인터넷진흥원(KISA), 금융보안원 등이 NIST 가이드라인을 바탕으로 국내 표준을 만들고, 한국 정부 조달 시스템도 NIST 호환성을 요구하는 경우가 많다. 특히 양자 내성 암호화 전환은 금융권과 공공 분야에서 긴박하게 진행 중이다.
논란과 과제
NIST의 표준화 과정이 항상 순탄하지는 않았다. 2013년 NSA가 NIST의 난수 생성기 표준(Dual_EC_DRBG)에 백도어를 심었다는 의혹이 스노든 폭로로 제기된 바 있다. 이후 신뢰 회복을 위해 투명성 강화와 다양한 국제 참여를 늘렸다. 또한 NIST 표준이 미국 이익에 편향될 수 있다는 비판도 꾸준히 제기된다.
향후 전망
AI 규제와 표준화가 글로벌 과제로 떠오른 지금, NIST의 역할은 점점 더 커지고 있다. EU의 AI법(AI Act)이 시행을 앞두고 있는 상황에서 NIST AI RMF와의 호환성 논의도 이루어지고 있다. AI 안전성, 사이버보안, 양자 내성—이 세 분야에서 NIST의 표준이 향후 5~10년 글로벌 기술 거버넌스의 틀을 규정할 것이다.
관련 항목
사이버보안 | 양자 내성 암호화 | AI 안전성 | AI 위험 관리 | RSA 암호화 | 미국 상무부 | ISO/IEC | EU AI법 | 국가정보원 | KISA
NIST
AI가 안전한지 어떻게 알 수 있음? 누가 기준을 만드냐고. 미국의 NIST가 그 일을 함. 사이버보안·AI·양자기술 분야 글로벌 표준의 진원지임.
NIST가 뭔데
미국 상무부 산하 연구소임. 1901년에 무게·길이 측정 표준 담당으로 시작했는데, 지금은 사이버보안·AI 안전·양자 암호화까지 다 잡고 있음. 법적 강제력은 없는데, 미국 정부 조달이나 민간 기업에서 사실상 따라야 하는 기준이 됨. 한국도 NIST 표준 엄청 참조함. KISA(한국인터넷진흥원), 금융보안원이 NIST 기준으로 국내 표준 만듦.
AI 관련 최신 동향
'''2023년 AI 위험 관리 프레임워크(AI RMF)''': AI가 얼마나 위험한지 평가하고 관리하는 자발적 지침. AI 신뢰성·편향·투명성을 관리하는 기준으로 씀. 기업들이 AI 도입할 때 이걸 체크리스트처럼 씀.
'''2025년 12월 AI 사이버보안 프로파일(NISTIR 8596)''': AI 시대에 맞는 사이버보안 가이드 초안 공개. 6,500명 이상이 의견 제출할 정도로 업계 관심 폭발. 세 가지 초점:
1. AI 시스템 보안 - AI 도입하는 조직의 사이버보안 리스크 관리
2. AI 기반 방어 - AI로 사이버 위협 탐지하고 막기
3. AI 기반 공격 대응 - 해커들도 AI 씀, 이에 대한 방어 전략
양자 내성 암호화
NIST의 또 다른 대박 업적. 양자 컴퓨터가 지금 인터넷 암호화(RSA)를 뚫을 수 있게 되면 인터넷 보안이 무너짐. 그래서 NIST가 새로운 양자 내성 알고리즘 표준을 2024년에 확정함. CRYSTALS-Kyber, CRYSTALS-Dilithium 같은 새 알고리즘임. 금융권, 정부, 국방부가 이 표준으로 갈아타고 있음. "나중에 해독하려고 지금 데이터 훔쳐두는" 공격에 대비하는 거임.
논란
2013년 스노든이 NSA가 NIST 표준에 백도어(뒷문) 심었다는 걸 폭로함. 이후 신뢰 회복에 엄청 공들이고 있음. 국제 참여 확대, 투명성 강화 등. 미국 이익에 편향됐다는 비판도 있음. 그래도 대안이 없어서 계속 참조됨.
EU와의 관계
EU도 AI법(AI Act) 시행하면서 NIST AI RMF와 호환성 논의 중임. 글로벌 AI 규제의 두 축이 미국 NIST와 EU AI법이 됨.
결론
AI·사이버보안·양자기술 분야에서 NIST 표준을 모르면 아무것도 못 함. IT 업계 취업하거나 이 분야 공부하려면 NIST 프레임워크는 기본 상식임.
NIST
세상이 안전하게 작동하려면 '규칙'이 필요해요. 컴퓨터와 AI의 규칙을 만드는 미국 기관이 바로 NIST예요.
NIST가 뭔가요?
NIST는 미국에 있는 연구소예요. 정식 이름은 "국립표준기술연구소"예요. 원래는 무게나 길이 같은 측정 기준을 만들었어요. 예를 들어 "1킬로그램이 정확히 얼마인지"를 정하는 일이에요. 그런데 지금은 컴퓨터 보안과 AI 안전에 관한 규칙도 만들어요.
어떤 일을 하나요?
NIST는 크게 세 가지 중요한 일을 해요.
첫째, AI가 사람들에게 해가 되지 않도록 기준을 만들어요. AI가 공정하고 투명하게 작동하는지, 편견은 없는지 점검하는 방법을 알려줘요. 이걸 "AI 위험 관리 프레임워크"라고 해요.
둘째, 인터넷 보안을 더 강하게 만드는 방법도 연구해요. 해커들이 우리 개인 정보를 훔치지 못하도록 보호하는 기술 기준이에요. "사이버보안 프레임워크"라고 해요.
셋째, 양자 컴퓨터가 현재 암호를 풀 수 있게 될 때를 대비해 새로운 암호 규칙도 만들었어요. 이걸 "양자 내성 암호화"라고 해요. 미래를 위한 준비예요.
왜 중요한가요?
NIST가 만든 규칙은 미국뿐 아니라 한국, 유럽 등 전 세계 많은 나라들이 따라요. AI와 컴퓨터 보안의 세계 표준이 여기서 만들어지는 거예요. 한국의 인터넷 보안 기관들도 NIST 기준을 참고해서 우리나라 규칙을 만들어요.
2025-2026년에 한 일
2025년 12월에 NIST는 AI를 위한 새로운 사이버보안 가이드를 발표했어요. AI가 더 안전하게 사용될 수 있도록 세 가지를 다뤄요. AI 시스템 자체를 안전하게 만들기, AI로 해킹을 막기, 해커들이 AI를 나쁘게 쓰는 것 막기가 그 내용이에요. 6,500명 이상의 전문가들이 의견을 냈을 만큼 중요한 발표였어요.
재미있는 사실
NIST는 1901년에 만들어졌어요. 100년이 넘은 기관이에요! 처음에는 쇠자로 길이 재던 곳이었는데, 지금은 AI와 양자컴퓨터 같은 최신 기술의 규칙을 만들고 있어요. 시대가 바뀌면서 기관도 함께 변화한 거예요.
더 알아보기
NIST 덕분에 우리가 인터넷을 더 안전하게 쓸 수 있어요. AI가 올바르게 사용되도록 기준을 만드는 이런 기관들이 있기 때문에 미래 기술이 더 안전하게 발전할 수 있답니다!
NIST: Shaping the Future of AI Safety and Security
In an era of explosive AI growth, who sets the standards? The National Institute of Standards and Technology (NIST), a non-regulatory federal agency under the U.S. Department of Commerce, plays a pivotal role. From quantum-resistant cryptography standards to AI risk management frameworks, NIST's guidelines are shaping global benchmarks for AI safety and security from 2025 to 2026 onwards.
Overview
Founded in 1901, NIST transitioned from a primarily measurement standards organization (focusing on units like weight, length, and electricity) to a leading developer of standards and guidelines for cutting-edge technologies like cybersecurity, artificial intelligence (AI), quantum technologies, and biotechnology. While NIST standards lack legal enforceability, they wield significant practical influence over federal procurement practices and private sector norms within the United States. Notably, NIST serves as the originator of widely adopted cybersecurity frameworks globally, including the renowned Cybersecurity Framework (CSF).
AI Risk Management Framework (AI RMF)
In January 2023, NIST unveiled the AI Risk Management Framework (AI RMF 1.0), a voluntary framework designed to systematically manage key aspects of AI systems—reliability, safety, bias, and transparency—across their lifecycle. Structured around four core functions—Govern, Map, Measure, Manage—AI RMF guides organizations in identifying and mitigating risks throughout the AI development process. Widely adopted by both public sector entities within the United States and private sectors like finance, healthcare, and manufacturing, AI RMF establishes foundational principles for AI governance.
AI Cybersecurity Framework (Projected Release: 2025-2026)
On December 16, 2025, NIST released a preliminary draft of the "AI Cybersecurity Framework Profile (NISTIR 8596)" ahead of schedule, expanding upon the existing CSF 2.0 to address AI-specific challenges. This initiative garnered significant public engagement, with over 6,500 participants during a 45-day comment period concluding in January 2026. The framework focuses on three core areas:
1. Secure AI: Addressing cybersecurity challenges faced by organizations implementing AI, encompassing security requirements for AI applications in sectors like power grids and customer service.
2. AI-Enabled Cyber Defense: Leveraging AI for threat detection and response mechanisms.
3. Countering AI-Enabled Attacks: Developing defenses against attacks utilizing AI technologies.
Post-Quantum Cryptography Standards
Parallel to its AI endeavors, NIST has garnered considerable attention for its work in Post-Quantum Cryptography (PQC). Driven by concerns over potential vulnerabilities posed by quantum computing advancements to current encryption standards like RSA and ECC, NIST has meticulously developed and adopted several quantum-resistant algorithms as official standards by 2024. These include CRYSTALS-Kyber, CRYSTALS-Dilithium, and SPHINCS+. Financial institutions, government agencies, and defense sectors are actively transitioning to these new standards amidst heightened urgency.
Cybersecurity Framework (CSF)
Since its initial release in 2014, NIST's CSF has become the de facto standard for cybersecurity strategies across global enterprises. The CSF 2.0, launched in February 2024, incorporates a Governance function, expanding its scope to six core functions: Governance, Identify, Protect, Detect, Respond, and Recover. Organizations like Korea Internet & Security Agency (KISA) and the Korea Information Security Agency (KISA) utilize CSF as a foundational reference for developing domestic cybersecurity guidelines.
Relationship with Korea
South Korea significantly aligns its standards with NIST guidelines. Institutions like KISA and the Korea Information Security Agency leverage NIST frameworks to establish national cybersecurity standards, while Korean government procurement systems increasingly prioritize NIST compatibility. Notably, the transition to quantum-resistant cryptography is progressing rapidly within financial and public sectors in Korea.
Controversies and Challenges
NIST's standardization process hasn't been without controversy. Allegations surfaced in 2013 regarding potential backdoors in NIST's random number generator standard (Dual_EC_DRBG) by the NSA, raising concerns about transparency. Subsequently, NIST bolstered its commitment to transparency and international collaboration to restore trust. Persistent criticism also highlights potential biases towards US interests within NIST standards.
Future Outlook
As AI regulation and standardization emerge as global imperatives, NIST's influence continues to grow exponentially. With the impending implementation of the EU's AI Act, discussions surrounding interoperability between NIST's AI Risk Management Framework and EU regulations are underway. Looking ahead, NIST's standards are poised to shape the global technological governance landscape across AI safety, cybersecurity, and quantum resilience over the next five to ten years.
Related Topics
Cybersecurity, Post-Quantum Cryptography, AI Safety, AI Risk Management, RSA Encryption, U.S. Department of Commerce, ISO/IEC, EU AI Act, National Intelligence Service, KISA
English version not yet available.
English version not yet available.
문서 정보
최초 작성
최종 갱신
분량
2,460자 (성인 기준)
분류
과학·기술
HANGUL.WIKI가 정리·작성한 문서입니다. 정확성을 위해 노력하나 오류가 있을 수 있으므로,
중요한 내용은 공식 출처를 통해 확인하시기 바랍니다.
내용의 오류나 정정 요청은 오류·정정 신고로 알려주시면 검토 후 반영합니다.