국정원, N²SF 가이드라인 1.0 정식 버전 발표…‘보안 통제항목·모델’ 확장

국가정보원(원장 이종석)은 9일 열린 국제 사이버안보 행사 ‘사이버 서밋 코리아 2025(CSK 2025)’에서 ‘국가망보안체계(N²SF, National Network Security Framework) 보안 가이드라인 1.0 정식 버전’을 완성했다고 밝혔다. 정식 버전은 9월 중으로 배포될 예정이다.

국정원에 따르면, N²SF 1.0 정식 버전은 지난 1월 N²SF 드래프트 버전을 배포한 이후 현장 피드백을 반영해 보완·확대한 완성본이다.

국정원 관계자는 “드래프트 버전에서 부족했던 개념 설명과 적용 절차를 보강했고, 기관들이 쉽게 활용할 수 있도록 산출물 양식도 표준화했다”며 “기관이 어떤 보안 제품을 도입해야 하는지 예시까지 구체적으로 제시해 현장 적용성을 높였다”고 강조했다.

드래프트 한계 보완, 현장 적용성 강화

올해 1월 공개된 N²SF 초안의 핵심은 ▲개념·원칙·절차 정리 ▲C/S/O 등급별 보안통제 기준선 제시 ▲8개 정보서비스 모델 예시 제공이었다. 이번에 발표된 1.0 정식 버전에서는 이러한 기반 위에 ,현장 맞춤 설명, 보안통제 항목, 모델 등이 보완됐다.

국정원은 N²SF의 개념과 적용 절차에 대한 설명을 확대해 기관들이 체계를 더 쉽게 이해할 수 있도록 했으며, 적용 과정에서 필요한 문서와 양식도 표준화해 활용 편의성을 높였다. 또 미국 국가안보국(NSA)의 크로스 도메인 솔루션(CDS, 망 간 안전 통신 기술) 개념을 반영해 새로운 보안 체계를 추가했다.

보안 통제 항목은 기존 170여개에서 260여개로 늘려 기술·관리적 통제를 강화했고, 정보서비스 모델 역시 8개에서 11개로 확대해 모바일·무선망 기반 모델을 포함했다. 아울러 부록은 공공기관 내부에만 한정됐던 공유 범위를 외부 공개로 전환해 활용도를 넓혔다.

국정원 관계자는 “기관이 어떤 보안 제품을 도입해야 하는지 예시를 구체적으로 제시했고, 산출물과 서비스 모델도 세분화했다”며 “드래프트에서 부족했던 부분을 보완해 현장 적용성을 높였다”고 설명했다.

행안부, 특허청 등 실제 공공 적용 사례 소개

국정원은 실제 N²SF가 공공기관에 시범적으로 적용된 사례도 소개했다. 특허청은 물리적 망 분리 환경에서 생성형 인공지능(AI)과 해외 특허청 데이터베이스를 안전하게 연계했고, 행정안전부는 초거대 AI 플랫폼과 민감정보 필터링 체계를 결합했다.

과기정통부는 공공·민간 데이터 허브인 ‘DPG 통합 플랫폼’에 N²SF를 적용 중이다. 이 플랫폼은 각 기관이 보유한 데이터를 상호 연계해 활용할 수 있도록 설계된 통합 관문으로, 이번 시범 적용을 통해 내·외부 연계 구간에서의 보안 통제가 강화되고 있다. 또한, 한국은행은 데이터 라벨링 기반 보안과 단일 단말 접속 체계를 도입해 외부 접속의 보안성을 강화했다.

국정원 관계자는 “각 기관은 신규 정보화 사업 추진 시 N²SF 정책을 반드시 반영해야 한다”며 “내년 과기정통부가 주관하는 공공부문 시범사업에도 민간에서 적극적으로 참여해달라”고 당부했다.

한편, 국정원은 N²SF 1.0 발표와 함께 미래 산업의 핵심 기술인 클라우드·모빌리티·항공우주 영역의 보안 전략도 같이 추진하겠다고 밝혔다. 여기에는 ▲공공용 민간 클라우드 보안 기준 완화 ▲AI 클라우드 보안 정책 고도화 ▲자율주행차·드론·도심항공교통(UAM) 보안 체크리스트 마련 ▲우주 시스템 보안 가이드라인 공개 등이 포함된다.

국정원 관계자는 “AI·클라우드 확산, 모빌리티 도입, 우주 산업 성장 등 변화에 맞춰 관련 산업에 대한 국가 보안정책도 같이 최적화하겠다”고 덧붙였다.

한편, 이번 발표는 김소정 신임 사이버안보비서관이 좌장을 맡아 진행했다. 김 비서관은 “오늘 자리는 새로운 전략을 일방적으로 발표하기보다는, 그간 추진해온 정책과 현장의 목소리를 공유하는 자리”라고 설명했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network