빗장 풀리는 ‘망분리’ 규제…C·S·O 3등급으로 차등 적용

국가 공공기관의 망분리 수준을 달리하는 다층보안체계(MLS)의 청사진이 나왔다. 데이터 중요도에 맞춰 정보시스템 등급을 차등화하고 상대적으로 중요도가 낮은 시스템은 망분리 규제를 완화한다. 클라우드와 인공지능(AI) 기술의 확산 속에서 획일적 방침을 풀어 유연성을 높이자는 취지다.

올해 안으로 구체적인 로드맵을 확정하고 내년부터 본격 시행에 들어간다. 그동안 획일적인 망분리 정책을 따라야 했던 공공 업무망에 유연성이 부여될지 주목된다.

국가정보원은 11일 서울 코엑스에서 열린 국제 사이버안보 행사 ‘CSK 2024’에서 이 같은 내용의 ‘대한민국 사이버안보 정책 방향’을 발표했다. 지난해 12월 윤석열 대통령이 정책 개선 필요성을 제기한 뒤 급물살을 탔던 논의 결과가 공개됐다.

국정원은 대통령의 언급 이후 안보실·디지털플랫폼정부위원회·금융위원회·개인정보보호위원회 등 관계기관 및 산학연과 민관 합동 태스크포스(TF)를 구성해 개선방안을 논의해 왔다.

C·S·O 등급제 시행

총 5단계의 적용 절차를 거친다. 현황 파악과 분석을 위한 준비 과정으로 시작해 ▲데이터 중요도에 따른 C·S·O 등급 분류 ▲정보 서비스 구성 환경 모델링 ▲보안 통제 방안을 선정하는 대책 수립 ▲등급 분류와 보안통제의 적절성 평가·재조정 단계로 이어진다.

이날 공개한 안은 데이터 중요도에 따라 망분리 수준을 달리하는 것이 핵심이다. 정보시스템에 담긴 데이터의 활용도와 보안성을 따져 기밀(C·Classified)·민감(S·Sensitive)·공개(O·Open) 등급으로 분류한다.

비밀 안보·국방·외교· 수사 등 기밀정보이거나 국민생활·생명·안전과 직결된 정보는 C 등급, 개인·국가 이익침해가 가능한 비공개 정보는 S 등급으로 지정해야 한다. O는 원칙적으로 C와 S를 제외한 모든 정보와 함께 가명 처리 등을 거친 행정·민감정보를 말한다.

만약 한 기관 안에 C 등급과 하위 등급 데이터가 함께 있을 경우 해당 정보시스템은 최상위인 C 등급 부여가 원칙이다. 단 국정원은 과도한 상위 등급 분류 방지를 위해 등급별 시스템 분리를 권고한다. 또한 C 등급으로 분류됐던 데이터를 하위 등급으로 내리거나 하위 등급 데이터를 새로 생산할 때는 별도의 보호조치를 시행하도록 했다.

국정원은 원활한 정책 시행을 위해 정보서비스 모델 8개를 추진과제로 제시했다. 내년부터 디지털플랫폼정부 위원회 주관으로 8개 추진과제를 시범사업으로 추진하고, 국정원은 보안 통제 실효성과 안정성을 검증한다.

8개 추진 과제는 공공데이터의 AI융합을 비롯해 ▲인터넷 단말의 업무 효율성 제고 ▲업무환경에서의 생성AI 활용 ▲외부 클라우드 활용 ▲업무 단말의 인터넷 이용 ▲연구 목적 단말의 신기술 활용 ▲개발 환경 편의성 향상 ▲클라우드 기반 통합 문서체계 등이다.

국정원은 이번 안을 ‘고속도로’에 비유했다. 국가산업의 대동맥인 경부고속도로와 같이 공공데이터가 더욱 개방되고 쉽게 활용되는 디지털 고속도로를 만드는 게 목표다. 본격 시행되면 공공 정보시스템에서도 챗GPT를 사용하고 클라우드 기반 서비스형소프트웨어(SaaS) 확산의 길이 열린다.

시범 적용을 통해 보안 통제가 제대로 이뤄지는 지 검증하고, 문제점 보완을 거친 뒤 시행에 들어간다. 구체적인 분류 기준과 로드맵은 올해까지 국가 망보안정책 개선 TF를 가동하고 각계 의견 수렴을 거쳐 확정할 예정이다.

아직 시간이 남았지만 클라우드 업계에서는 촉각을 곤두세우는 모습이다. 국정원은 최하위 O 등급의 경우 민간 클라우드를 허용할 것으로 알려졌다. 국정원은 내년 상반기까지 정확한 클라우드 사용 요건을 정립할 예정이다.

이제까지 상·중·하 등급으로 분류하는 공공 클라우드 체제에서 외국계 CSP는 논리적 망분리를 허용하는 하 등급 참여만 가능했다. 하지만 다층보안체계에서 O등급 참여 가능성이 열린데다 S 등급의 빗장까지 풀리게 되면 국산 CSP는 경쟁업체 증가, 외국계 CSP는 신사업 기회가 생길 것으로 예상된다.

국제표준암호 ‘AES’ 허용키로

이날 행사에서는 암호보안 체계 개편 방향도 소개됐다. 주요 국가·공공기관에서 사용하는 암호모듈의 안전성을 검증하는 공공 암호모듈 검증제도(KCMVP)를 손질한다.

국정원은 이제까지 KCMVP에서 국내에서 개발한 암호(SEED·ARIA·HIGHT·LEA)만 허용해왔던 것에서 2026년부터는 국제표준암호 AES(Advanced Encryption Standard) 활용도 허용한다.

2005년 KCMVP를 시행할 당시에는 외국에서 개발한 암호에 대한 해독 우려가 있었지만, 보안 환경의 변화와 범용성 증대를 위해 글로벌 스탠더드를 허용해야 한다는 의견이 제기됐다는 설명이다.

수출에 주력하는 기업들은 제품에 AES를 탑재해야 하는 상황에 직면하면서 수출 경쟁력 약화와 개발 효율성 저하 문제가 발생했다. 국정원은 AES의 안전성이 입증됐다고 판단하고, 경제적효과와 산학연 전문가 의견 등을 고려해 AES 허용 방안을 검토했다.

2022년 국가정보원은 사물인터넷(IoT), 자율주행차량 등의 AES 활용도에 대한 연구용역을 진행했고, 허용해야 한다는 결론을 도출했다. 지난 5월 국방혁신위원회에서도 군의 드론 전력강화 방안을 논의하면서 AES가 탑재된 상용 드론의 신속 획득 필요성도 언급한 것으로 알려졌다.

지난 5~6월 산학 간담회 등을 통해 AES 허용에 대한 찬성 의견을 조사한 결과, 찬성률이 85%에 달했다. 이에 국정원은 8월 암호모듈 시험 및 검증지침에 의거, 검증위원회 심의를 거쳐 AES 허용을 최종 결정했다.

준비기간을 고려해 시행 시기는 2026년 1월로 잡았다. 국정원 측은 “AES를 탑재한 외산 제품이 주요 공공분야에 도입되기 위해서는 해당 암호모듈이 안전한지 국정원 검증을 받아야 한다”며 “ 안보 측면의 우려도 없을 전망”이라고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network