공공 망분리 대신할 ‘국가 망 보안체계’ 가이드라인 나왔다
획일적인 공공 망분리 정책을 탈피해 새롭게 적용될 ‘국가 망 보안체계 보안 가이드라인’이 나왔다.
국가정보원은 지난 23일 ‘국가 망 보안체계(N²SF) 보안 가이드라인’ 초안(Draft)을 각급기관에 배포하고, 국가사이버안보센터 홈페이지에도 게시했다.
국정원은 공공 데이터 공유와 인공지능(AI), 클라우드같은 신기술을 공공분야에 적용할 수 있도록 데이터 활용성과 보안성을 동시에 충족하는 새로운 국가 망 보안체계 전환을 지난해 1월부터 추진해왔다. 지난해 9월 국정원은 ‘다층보안체계(MLS)’란 이름으로 새로운 국가 망 보안체계 전환 로드맵을 발표했지만 이후 명칭을 바꿨다.
N²SF는 정부 전산망을 업무 중요도에 따라 기밀(Classfied)·민감(Sensitive)·공개(Open) 등급으로 분류하고, 보안통제 항목을 차등적으로 적용해 보안성과 데이터 공유 활성화를 동시에 충족할 수 있도록 구현한다. 각 기관은 ‘정보공개법’ 등 관련 법령에서 규정한 ‘비공개 정보’를 중요도에 따라 소관 업무정보를 대상으로 기밀(C)·민감(S)으로 분류하고, 그밖의 모든 정보는 공개(O)로 분류해야 한다.
C·S·O 등급을 분류한 이후에는 위협을 식별해 보안대책을 수립한 뒤 적절성 평가·조정 단계를 거쳐 N²SF 산출물을 국정원에 보안성 검토를 의뢰해야 한다.
기관들은 ‘권한’·‘인증’·‘분리 및 격리’·‘통제’·‘데이터’·‘정보자산’의 6개 영역으로 구성된 ‘보안통제 항목’에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다.
국정원은 N²SF 체계를 적용해 인터넷 단말에서 문서편집기 등 업무에 활용하거나, 업무환경에서 생성형 AI, 외부 클라우드(SaaS)를 활용할 경우 등과 같은 ‘정보서비스 모델’을 마련해 국가·공공기관 업무환경 혁신 및 편리성을 제고할 계획이다.
아울러 올해 상반기부터 새로운 N²SF를 공공기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회, 과학기술정보통신부 등 관계부처와 협조해 ‘정보서비스 모델’을 반영한 선도사업을 추진, 안정적인 정책 확산을 유도한다.
단기적으로 ▲소규모 네트워크 ▲N²SF 적용이 용이한 사업 ▲올해 계획된 망분리 사업 등 즉시 추진 가능한 정보화 사업은 새로운 보안체계를 우선 적용하고, 중장기적으로 정보화전략계획(ISP) 수행 및 기재부 등 관계부처 검토가 필요한 대규모 시스템은 예산ㆍ재구축 소요기간 등 고려해, 단계적으로 전환을 추진할 방침이다.
국정원은 상반기 중 선도사업 등을 통한 안전성 검증 및 N²SF 조기 도입 희망기관 대상 컨설팅 등 각급기관이 신 정책 적용에 차질이 없도록 밀착 지원하고, 하반기에는 보안가이드 미비점 보완 후 정식 배포 등 정책 본격 시행 계획이라고 밝혔다.
국가 망 보안체계 보안 가이드라인(Draft)은 본문과 부록1, 2까지 총 3권으로 구성돼 있다. 보안가이드라인 본문은 국가 망 보안체계의 개념, 기본원칙, 보안통제 항목 선택방법 등을 설명하고, 국가 망 보안체계 적용 절차별로 각급기관이 수행할 주요 활동과 산출물 정의 및 각각의 세부사항을 수록했다.
부록1(보안통제 항목 해설서)은 각급기관이 N²SF 적용 절차에 따라 보안위협 요인을 식별한 후, 업무정보 및 정보시스템에 대한 적절한 보안대책을 선택해 구현·운영할 수 있도록 각종 보안통제 항목들과 구현 방법 등을 설명한다. 부록2(정보서비스 모델 해설서)에서는 N²SF 적용을 통해 공공부문의 정보화 체계를 변화시킬 수 있는 대표적인 정보서비스 모델을 발굴·제시했다. 부록2는 향후 국가·공공기관의 정보시스템 구성도 및 보안대책 등을 쉽게 파악·악용할 수 있다는 점을 감안해 제한적으로 배포되며, 홈페이지에도 게시돼 있지 않다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network