저무는 ‘망분리’ 시대…‘다층보안체계’로 국가 보안정책 대대적 변화 예고
보안성 확보를 이유로 정부·공공 분야 업무 환경에서 인터넷과 업무망을 분리해 사용해온 ‘망분리’ 정책이 ‘다층보안체계(MLS)’로 전환된다.
정부는 그동안 획일적으로 적용해온 망분리 정책 대신에 공공 정보시스템과 데이터(정보)를 중요도에 따라 세 등급으로 분류해 그에 맞는 보안통제를 적용하는 방식을 내년부터 시행할 예정이다.
이에 따라 지난 2006년부터 시행돼온 정부·공공 망분리 정책이 사실상 폐지된다. 앞으로는 정부·공공기관 담당자들도 두 개의 PC를 사용할 필요 없이, 적절한 보호대책이 적용돼 있다면 민간 기업과 동일하게 업무용 단말에서 인터넷과 클라우드 서비스(SaaS), 챗GPT같은 생성형 인공지능(AI) 서비스도 이용할 수 있게 될 전망이다.
공공 망분리 대신 ‘다층보안체계’로…국가 보안 패러다임 대전환
내년부터 시행될 다층보안체계(MLS) 도입을 계기로 국가정보보안지침이 개정되고 새로운 MLS 관련 보안가이드라인이 마련된다. 현재 중요도에 따라 ‘가·나·다’ 등급으로 분류돼 있는 공공기관 보안 체계와 국가용 보안요구사항에 따른 보안제품 검증기준을 비롯해 ‘상·중·하’로 구분돼 있는 클라우드보안등급제(CSAP) 등 관련 기준, 공공 사이버보안 실태평가까지 연이어 큰 변화를 맞이할 전망이다. 망분리 정책을 시행한 지 18년 만에 국가 보안정책에 대대적인 전환이 예고됐다.
지난달 앞서 발표된 ‘망분리 규제 개선을 위한 로드맵’과 더불어 이번 MLS 전환 로드맵까지 나오면서 향후 금융권뿐 아니라 정부·공공 분야 업무 생산성과 효율성이 크게 개선되고 혁신 동력도 커질 수 있을 것으로 예상된다. 더욱이 클라우드와 인공지능(AI) 신기술 활용 활성화에 따른 디지털 경쟁력 확대, 클라우드·AI·데이터·보안 분야 수요 확산과 신시장 창출 등 관련산업 분야에도 긍정적인 영향을 미칠 것으로 보인다.
국정원, ‘다층보안체계(MLS) 전환 로드맵’ 발표
국가정보원은 11일 서울 코엑스 컨벤션센터에서 개최한 ‘사이버 서밋 코리아(CSK) 2024’ 행사에서 국가망 보안정책 개선 정책 방향으로 ‘다층보안체계(MLS)’ 전환 로드맵을 공식 발표했다.
이날 발표된 MLS 전환 로드맵은 국정원이 디지털플랫폼정부위원회, 금융위원회, 개인정보보호위원회를 비롯해 산·학·연 전문가가 참여한 ‘국가 망보안정책 개선TF’를 구성해 다양한 논의와 업계 의견수렴 과정을 거쳐 마련했다.
MLS는 업무중요도에 따라 공공 업무정보를 기밀(Classified)·민감(Sensitive)·공개(Open) 등급으로 분류해 등급별 보안통제를 차등 적용하는 방식이다. 업무 환경을 인터넷망과의 단절 없이 보안성을 확보는 물론 클라우드와 AI 시대에 맞춰 원활한 데이터 공유가 가능한 공공 업무환경을 실현해보자는 취지다.
다층보안체계(MLS) 5단계 적용절차와 C·S·O 등급 분류 원칙이란
다층보안체계(MLS) 적용 절차는 5단계로 구성된다. ▲준비부터 ▲기밀정보(C)/민감정보(S)/공개정보(O) 등급 분류 ▲정보서비스 모델링 ▲보안대책 수립 ▲적절성 평가·조정까지 5단계에 걸쳐 진행된다. 미국에서 시행 중인 RMF(Risk Management Framework), 제로트러스트 등을 기반으로 국내 여건에 맞춰 최적화했다.
정보등급은 각 정부·공공기관이 직접 지정한다. 세 가지 등급 가운데 기밀정보(C)와 민감정보(S)는 정보공개법, 공공데이터법 등에 따라 지정한 비공개 정보다. 기밀정보에는 법령상 비밀, 안보·국방·외교·수사 등 기밀정보와 국민 생명·안전과 직결된 정보가, 민감정보는 계약정보, 주민번호, 영업비밀 등 개인과 국가의 이익 침해가 가능한 정보 등이 해당된다. 공개정보는 공공데이터법에 따른 공공데이터로 기밀·민감정보 외 모든 정보가 지정될 수 있다. 가명처리 등 관련법에서 규정하는 조치를 적용한 행정·민감 정보도 포함된다.
다만 특정 시스템 안에 복수등급의 정보가 저장돼 있으면 최상위등급을 적용하는 것을 원칙으로 삼아 분류하도록 할 방침이다. 자칫 과도하게 상위등급으로 분류할 수 있는 경우를 방지하기 위해 원칙적으로 등급별 분리 권고를 원칙으로 삼기로 했다.
정보서비스 모델링 원칙 제시…8가지 추진과제 도출
정보서비스 모델링을 수행할 때는 업무정보 서비스 환경에서 ‘위치(Domain), 주체(Subject), 객체(Object)’로 단순화해 정보 등급을 평가하는 방식을 적용한다. 위치는 정보(시스템)을 활용하는 주체가 있는 물리적 영역이고, 객체는 주체가 접속하는 대상을 말한다.
국정원 국가사이버안보센터(NCSC) 관계자는 “정보시스템을 포함한 정보서비스 환경 전반을 위치, 주체, 객체 세 가지로 단순화시킨 상태에서 C·S·O등급을 평가하는 절차가 모델링이다. 이 평가 결과는 보안대책 수립 단계에서 적절하게 활용되기 위한 기초자료가 된다. CSO 평가결과에 따라 보안원칙을 매핑하면 보안원칙에 따라 필요한 보안체계를 어떻게 적용해야 하는지 도출하는 절차”라고 말했다.
그에 따르면, 정보서비스 모델링에 따라 동일 등급 또는 상위등급에서는 아무 제약 없이 정보의 생산과 저장이 가능하지만 하위 등급에서 생산과 저장하려면 보호 조치가 반드시 필요하다. S등급의 시스템에서 상위등급인 C 정보를 생산, 저장하기 위해서는 보호조치가 필요한데, S시스템에서 동등한 등급의 S 정보를 생산하거나 하위등급의 정보를 생산할 때는 보호조치 없이 자유롭게 할 수 있다. 정보의 이동 역시 동일 등급 또는 상위등급으로 이동을 자유롭게 할 수 있지만 하위등급으로 이동할 때는 반드시 보호조치가 필요하다.
또 보안성을 확보하면서 MLS로 빠르게 전환할 수 있도록 정보서비스 모델 8개를 추진과제로 마련했다. 추진과제는 ▲공공데이터 외부 AI 융합 ▲인터넷 단말의 업무 효율성 제고 ▲업무환경에서 생성형 AI 활용 ▲외부 클라우드 활용 업무협업 체계 ▲업무 단말의 인터넷 이용 ▲연구 목적 단말의 신기술 활용 ▲개발 환경 편의성 향상 ▲클라우드 기반 통합 문서체계다.
내년 시범적용 시작으로 본격 시행, 2026년 MLS 전환 가속화
국정원은 올해까지는 MLS 기반을 마련한 뒤 내년부터 본격적으로 시행할 방침이다. 공공부문에 신속한 MLS 확산을 위해 2025년부터 디지털플랫폼정부위원회 주관으로 8개 추진과제를 시범사업으로 추진한다. 국정원은 MLS를 공공기관에 시범 적용해 적절한 보안통제 적용 실효성과 안정성을 검증해본 뒤 보완을 거쳐, 오는 2026년부터는 MLS 전환 가속화에 주력할 계획이다.
MLS를 시행하기 위한 규정과 지침도 대대적으로 마련, 정비한다. 올해 안에 국가정보보안 기본지침과 보안가이드라인을 개·제정하고, 내년 상반기에 전 국가·공공기관 예산 지침도 공표할 예정이다. 클라우드 보안기준도 재정립해 현재 ‘상·중·하’로 구분돼 있는 클라우드보안등급 기준을 MLS에 맞도록 클라우드 보안요건을 새롭게 정립한다. 공공부문 보안검증제도 개편한다. 아울러 향후 국가정보보안기본지침 기반이 되는 국가사이버안보 프레임워크(가칭)도 만든다는 목표다. 또 다양한 MLS 보안통제 기술도 시험, 개발할 예정이다. 국가 사이버보안실태 평가도 개편한다.
NCSC 관계자는 “이번에 다층보안체계(MLS)로 패러다임을 전환하는 것은 디지털 고속도로를 만드는 것과 같다”며 “디지털 고속도로 기반을 제공해 대통령 1호 공약사항인 디지털플랫폼정부 구현에 기여할 것으로 기대된다”고 강조했다.
이어 “정보보안과 소프트웨어 산업, AI·클라우드·데이터 산업 관련 다양한 시장 확대 효과가 있을 것이다. AI와 클라우드가 연계되면서 민관 융합서비스가 개발되고, 공무원의 업무 효율성 제고로 우수 공공서비스를 개발할 수 있는 기회가 제공될 것이라고 본다. 업무 효율성과 협업 극대화, 스마트 오피스가 실현될 수 있을 것”이라고 기대를 나타냈다.
<관련기사> 빗장 풀리는 ‘망분리’ 규제…C·S·O 3등급으로 차등 적용
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
[무료 웨비나] API연결만으로 가능한 빠르고 쉬운 웹3 서비스 구축
- 내용 : API 연결을 통해 웹2와 웹3를 끊김 없이 연결하는 최신 융합 기술과 이를 통한 적용 사례를 다룹니다.
- 일시 : 2024년 10월 10일 (목) 14:00 ~ 15:10