국정원, N²SF 가이드라인 1.0 정식 버전 공개…‘제로트러스트·오버레이·CDS’ 반영

280여개 보안통제 항목·11종 서비스 모델 제시 “AI 강국 도약의 마중물”

국가정보원(원장 이종석)이 ‘국가 망 보안체계(N²SF, National Network Security Framework) 보안 가이드라인’ 정식판(1.0 버전)을 30일 공개했다. 이번 정식 버전은 지난 1월 발표된 드래프트 버전 이후 정부·산업계·학계 의견을 반영해 보완한 결과물로, 본 책자와 2개 부록(보안통제 해설서, 정보서비스 모델 해설서)까지 총 3권으로 구성됐다. 특히 정식판에는 ‘제로트러스트 원칙, 오버레이(Overlay) 개념, 망 간 안전 통신 기술인 크로스 도메인 솔루션(CDS)’ 등이 새로 반영됐다.

N²SF는 기존의 일률적인 망 분리 정책을 대체하기 위해 마련된 새로운 보안 프레임워크다. 업무 정보를 기밀(Classified)·민감(Sensitive)·공개(Open)로 구분하고, 등급별로 차등화된 보안통제를 적용하는 구조로 설계됐다. 국정원은 이를 통해 공공기관이 생성형 인공지능(AI)과 외부 클라우드 등 신기술을 보다 안전하게 활용하고 무선랜(WiFi) 환경에서도 안정성을 확보할 수 있도록 하는 것을 목표로 했다.

정식 버전의 가장 큰 변화는 실제 현장에서 활용 가능한 세부 지침이 대폭 보강된 점이다. 드래프트 버전이 개념·원칙·절차 제시에 그쳤다면, 정식판은 각 단계별 활동과 산출물 형식까지 구체적으로 규정했다. 적용 절차는 ▲준비 ▲등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정의 5단계로 나눠졌으며 각 단계마다 책임자와 평가지표까지 명확히 제시됐다.

보안통제 항목도 170여개에서 280여개로 대폭 늘었다. 초안은 기본 통제만 제시했지만 이번 버전은 권한·인증·분리·격리·데이터·정보자산 등 6개 영역으로 나눠 280여 개 항목을 담은 해설서를 공개했다. 부록1에는 각 항목의 의미와 적용 방법이 상세히 설명돼 있어 기관이 업무정보를 기밀·민감·공개로 구분해 차등 적용할 수 있도록 했다. 이를 통해 기관은 위협 진단과 보안대책 수립은 물론, 실제 보안 제품을 어떤 방식으로 도입할지도 합리적으로 선택할 수 있다.

정보서비스 모델은 8종에서 11종으로 확대됐다. 특히 생성형 인공지능(AI), 무선랜(WiFi), 외부 클라우드 기반 협업 등 신기술 환경이 구체적으로 반영됐다. 부록2는 이 같은 서비스 모델을 유형별로 정리해 기관이 새로운 기술을 안전하게 도입할 수 있도록 돕는다. 해당 내용은 그동안 공공기관 내부에 한정해 제공됐지만, 이번 정식판에서는 전면 공개로 전환돼 민간에서도 활용 가능성이 열렸다.

국제 보안 기준을 반영한 것도 특징이다. 미국 국립표준기술원(NIST)의 위험관리 프레임워크(RMF)에서 차용한 ‘오버레이(Overlay)’ 개념을 도입해 기관별 특성에 맞는 맞춤형 보안통제를 허용했다. 오버레이는 기관별 특수 환경에 맞춰 기존 보안통제 기준 위에 추가로 적용하는 맞춤형 지침을 뜻한다. 또 ‘항상 검증, 최소 권한’을 핵심으로 하는 제로트러스트 원칙이 보안대책 수립 단계의 필수 기준으로 포함됐다.

망 간 안전한 데이터 교환을 위한 크로스 도메인 솔루션(CDS) 개념도 정식 반영됐다. CDS는 접근, 전송, 다중등급보안(MLS) 등 유형별로 구분되며, 단방향 데이터 흐름은 외부 위협의 유입을 차단하고 양방향 전송 시에는 무결성 검증과 악성코드 필터링을 거치도록 했다.

국정원 관계자는 “이번 N²SF 정책 시행이 공공부문에 안전성을 제공하면서 AI 도입·활용 활성화를 이끌어 AI 강국 구현의 마중물이 될 것으로 기대한다”며 “앞으로도 국가안보와 민생안정, AI 3대 강국 도약을 위한 맞춤형 사이버안보 정책을 선제적으로 마련하겠다”고 강조했다.

국정원은 이번 가이드라인 공개와 함께 각급 기관을 대상으로 현장 설명회를 열고, 정보공유시스템(NCTI)을 통해 온라인 상담 창구도 마련할 계획이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network