구글, 미 국방부와 AI 사용에 대한 분류 계약 체결

구글이 미 국방부와 체결한 이번 기밀 계약은 Gemini를 비롯한 자사 AI 모델을 "합법적인 모든 정부 목적"에 활용할 수 있도록 허용하는 광범위한 형태로 알려졌다. 기술적으로 이는 단순한 API 공급을 넘어, 정부 전용 격리 환경(IL5/IL6 수준의 Google Distributed Cloud Air-Gapped 등)에서 모델 가중치와 추론 인프라를 운용하는 방식이 유력하다. 이러한 환경은 인터넷과 분리된 온프레미스 또는 분리망 클라우드에 모델을 배포하고, 데이터가 외부 학습 파이프라인으로 유출되지 않도록 격리하며, FedRAMP High나 DoD SRG 인증을 받은 KMS·HSM 기반 암호화를 적용한다. OpenAI(애저 거버먼트), xAI도 유사한 형태의 분리 배포 계약을 체결한 것으로 알려져 있어, 빅테크의 모델이 점차 "범용 SaaS"와 "주권 클라우드(sovereign cloud) 분리 배포"라는 이중 트랙으로 운영되는 구조가 굳어지고 있다.

개발자 관점에서 가장 직접적인 영향은 "AI Acceptable Use Policy"의 변화다. 구글은 올해 초 자사 AI 원칙에서 무기·감시 관련 금지 조항을 삭제했고, 이번 계약은 그 후속 흐름으로 해석된다. 즉 기존에 정책상 차단되던 군사·정보기관 유스케이스가 합법적 목적이라는 모호한 기준 하에 허용되는 방향으로 이동한다는 의미다. Vertex AI나 Gemini API를 자사 서비스에 통합한 엔지니어라면, 약관(Terms of Service)과 Generative AI Prohibited Use Policy의 개정 이력을 주기적으로 추적해야 하며, 특히 듀얼유스(민간·군사 양용) 기술을 다루는 스타트업이라면 자사 워크로드가 정부 계약의 데이터 공유 조항이나 모델 fine-tuning 풀과 어떻게 격리되는지 데이터 처리 부속서(DPA)에서 명확히 확인할 필요가 있다. 또한 Anthropic이 DoD의 "워터마크 제거 요구"를 거부해 블랙리스트에 올랐다는 사실은, 모델 안전장치(safety guardrails)가 기업 협상의 변수로 작동한다는 점을 보여준다.

실무자가 당장 점검해야 할 사항은 세 가지다. 첫째, **컴플라이언스 측면**에서 EU AI Act, 한국 AI 기본법(2026년 시행 예정), 그리고 미국의 ITAR/EAR 수출통제가 자사 AI 통합 제품에 미치는 영향을 재평가해야 한다. 미 정부 계약이 체결된 모델을 한국 공공·금융 부문에서 사용할 때 데이터 주권 이슈가 제기될 수 있기 때문이다. 둘째, **기술적 대안 검토**로 sovereign AI 흐름에 대비해 LLaMA, Qwen, 국산 HyperCLOVA X 등 온프레미스 배포가 가능한 오픈웨이트 모델을 PoC 단계에서라도 평가해 두는 것이 안전하다. 셋째, **계약 조항 검토**로 Google Workspace나 Vertex AI의 BAA(Business Associate Agreement) 및 Customer Data Processing Addendum이 정부 워크로드 분리를 어떻게 보장하는지 법무팀과 함께 검토해야 한다.

마지막으로, 이번 사안은 "AI 윤리 정책"이 더 이상 마케팅 문구가 아니라 실제 비즈니스 결정의 함수임을 상기시킨다. 구글 직원들의 공개 반대에도 계약이 체결됐다는 점은, 향후 AI 모델 공급사를 선택할 때 단순한 성능·가격 비교를 넘어 "공급사의 정책 일관성"과 "백엔드 모델이 어떤 용도에 동원될 수 있는가"를 아키텍처 의사결정 요소로 포함해야 함을 시사한다. 특히 B2C 서비스에서 사용자에게 "어떤 AI를 어떤 정책 하에 사용하고 있는가"를 투명하게 공개하라는 요구가 늘어날 가능성이 크므로, 모델 선택의 근거와 데이터 흐름을 문서화해 두는 것이 향후 신뢰성 확보의 핵심이 될 것이다.