N²SF 가이드라인 주 집필인이 본 공공 보안의 숙제

[기획/N²SF 전환③] 이철호 엔플러스랩 대표 인터뷰 “신규 업무 시스템부터 적용, 단계적 전환이 중요”

<목차>
① 공공 보안 패러다임 대전환, N²SF
② N²SF, 제로트러스트 아키텍처 품었다
③ N²SF 가이드라인 주 집필진, 이철호 엔플러스랩 대표 인터뷰(이번호)
④ N²SF 실증사례 : SGA솔루션즈 “뼈대인 컨설팅 단계가 중요”
⑤ N²SF 실증사례 : 지니언스 “단말 검증에서 시작되는 N²SF”
⑥ N²SF 실증사례 : 모니터랩 “생성형 AI 쓰는 순간, 데이터는 통제 대상”
⑦ N²SF 실증사례 : 프라이빗테크놀로지 “단계적 전환이 필요하다”
⑧ N²SF 실증사례 : 엔키화이트햇 “계속 점검해야 완성되는 N²SF”
⑨ N²SF가 나아갈 길 : 향후 과제

최근 국가망보안체계(N²SF) 전환 흐름이 커지면서, 공공을 포함한 현장에서는 N²SF를 “망분리를 풀고 대체하는 정책”으로 받아들이는 인식도 나온다.

N²SF 전문 스타트업 엔플러스랩의 이철호 대표는 “N²SF를 망분리를 대체하는 새 유행으로 보면 안된다”고 설명한다. N²SF는 망을 열고 닫는 선택지를 하나 더 늘린 정책이 아니라, 애초에 공공 보안을 ‘위험 관리’의 관점에서 다시 짠 통합 체계라는 것이다.

이 대표는 지난해 9월 국정원이 발표한 N²SF 가이드라인 1.0 본문의 주 집필진으로 참여했고, 그 과정에서 얻은 경험을 바탕으로 최근 N²SF 전문 기업 ‘앤플러스랩’을 창업했다.

망분리 vs N²SF 아냐, 망분리도 N²SF에 포함

이 대표는 “N²SF를 하면 망분리를 걷어내야 한다고 생각하는데, 그건 오해”라고 강조했다. N²SF는 ‘위험 관리 철학’ 안에서 통제 수단을 조합하는 구조이며, 망분리는 그 안에서 가장 강력한 보안 통제 중 하나라는 설명이다. 국방이나 외교 분야처럼 절대 외부 노출이 허용되지 않는 영역이라면, 망분리는 앞으로도 당연히 선택될 수밖에 없다는 것이다.

그는 공공 보안 체계의 변화를 0과 1의 세계가 끝났다는 것으로 비유했다. 과거에는 외부 인터넷망(1)과 업무망(0)처럼 이분법으로 설계했다면, 이제는 0.1·0.2·0.3 같은 ‘중간 구간’이 늘어났다. 외부 서비스와 연결되는 지점이 늘수록 보안담당자는 단순히 통로 하나만 지키는 것이 아니라 중간 구간의 위험을 식별하고, 통제를 계속 조정해야 한다. 즉, 사용자는 편해지고 보안담당자는 더 바빠지는 구조로 바뀐다.

이 대표는 이 현실을 외면할 수 없다고 본다. 공공 업무에서도 AI·외부 협업·원격 개발 같은 요구가 이미 들어오고 있는데, 망분리만으로는 업무가 되는 보안을 설계하기가 점점 더 어려워지기 때문이다.

“단계적 전환이 전제” 신규 구축부터 적용, 망분리는 ‘선택지’

현장에서 가장 많은 혼란은 전환 방식이다. 이 대표는 “이미 20년 전에 구축돼 지금도 잘 굴러가는 시스템을 당장 N²SF로 전환하는 건 현실적으로 어렵다”고 말했다. 오래된 시스템은 설계도조차 남아 있지 않거나, 남아 있어도 당시 기술 기준으로만 설명돼 있어 데이터 흐름을 다시 식별하기가 어렵기 때문이다. 그래서 국정원도 기존 시스템을 일괄적으로 강제 전환하라고 말하지는 않는다고 설명했다.

그는 국정원이 N²SF를 내놓은 취지가 “신규 구축부터는 적용하라”는 것이라고 말했다. 새로 만드는 시스템은 설계 단계부터 정보 흐름을 식별하고, 데이터 등급을 정하고, 그에 맞는 통제를 선택할 수 있다. 그리고 그 선택이 근거를 갖추면, 망분리 역시 N²SF의 한 방식으로 선택될 수 있다. 중요한 건 망분리를 했느냐가 아니라 등급 분류와 위험 식별을 거쳐 ‘왜 망분리인지’까지 설명 가능한 상태로 만들었느냐는 것이다.

또한 그는 검증 장치의 구조를 함께 설명했다. 설계 단계에서는 국정원의 보안성 검토를 통해 한 번 더 오류를 잡을 기회가 있고, 구축·운영 단계에서는 실태 평가로 지속 점검이 가능하다는 것이다. 결국 기관이 자율적으로 판단하되, 그 판단이 현실과 어긋나면 제도적으로 다시 들여다볼 수 있는 구조가 준비돼 있다는 취지다.

N²SF 왜 해야 하나? ‘최신 보안 교과서’이기 때문

이 대표의 이력은 공공 보안의 변화를 직접 따라온 궤적에 가깝다. 그는 아주대학교를 졸업하고 석사 과정을 마친 뒤, 2004년부터 국가보안기술연구소에서 근무했다. 국정원이 국가사이버안보센터(NCSC)를 만들며 공공 사이버보안 연구개발(R&D)이 본격화하던 시기에 연구 현장에 있었고, 약 21년 간 공공 사이버보안 업무를 수행했다.

전환점은 2022년 말이었다. 정부의 ‘중소기업 파견’ 프로그램으로 엔키화이트햇에서 연구소장으로 일하며 산업계의 현실도 체감했다. 공공의 논리와 민간의 논리가 어떻게 다른지, 보안 기업이 어떤 방식으로 시장에서 살아남는지 기업의 관점을 얻게 됐다.

그 무렵 국정원이 포스트 망분리 시대 국가망 보안체계로 ‘다중계층보안(MLS)’라는 이름의 정책을 마련했다. MLS가 지금의 N²SF로 이어졌다. 그는 N²SF를 설명하며 미국 국립표준기술연구소(NIST)가 만든 ‘위험 관리 프레임워크(RMF, Risk Management Framework)’ 개념을 강조했다. 이전부터 국내에도 이런 위험 관리 기반의 프레임워크가 필요하다는 문제의식이 있었고, 그 결과물이 N²SF로 이어졌다는 설명이다.

그는 이 흐름이 공공만의 변화가 아니라고도 짚었다. 금융권도 ‘자율 보안 체계’라는 이름으로 비슷한 문제를 풀고 있었고, 국방은 ‘국방 사이버보안 위험관리 제도(K-RMF)’를 추진하고 있다. “이 세 가지는 이름만 다를 뿐, 학술적으로 보면 위험 관리라는 공통분모 위에 있다”는 게 이 대표의 설명이다.

이 대표는 “N²SF를 해야 하는 이유가 여기에 있다”며 “보안 패러다임의 전환을 넘어 공공의 보안 체계가 위험 관리 프레임워크 기준으로 재편되는 흐름을 받아들여야, 공공도 발전이 가능하기 때문”이라고 강조했다.

엔플러스랩은 “보안담당자가 위험 관리를 잘 할 수 있게 돕는 기업”

이 대표는 N²SF 도입이 오히려 보안담당자의 부담을 키우는 점도 있다고 본다. 과거엔 ‘다 막아놓고 통로 하나만 관리’하면 됐지만, 이제는 중간 구간(0.1·0.2·0.3)을 포함해 지속적으로 위험을 식별·감사·대응해야 한다. 그런데 공공 조직은 인사 순환이 잦고, 특정 개인이 장기간 전문성을 축적하기 어려운 구조가 있다. 그는 “보안 업무를 해본 적 없는 사람이 어느 날 보안담당자로 발령받는 상황에서, 무엇부터 해야 할지 안내해주는 시장과 도구가 필요하다”고 말했다.

이 문제의식은 창업으로 이어졌다. 최근 그는 N²SF 대응을 구조화하는 컨설팅 솔루션을 개발하고 있다. 구체적으로는 N²SF의 적용 5단계(준비, C/S/O 등급분류, 위협식별, 보안대책 수립, 적절성 평가·조정)를 매끄럽게 만드는 것이다. ▲AI 기반 자동 등급 분류 지원 ▲설계 단계에서의 위협 모델링(실제 위협 사례를 통해 위협을 찾는 작업) ▲위협이 과도하게 늘어날 때 우선순위를 매기는 위험 평가(예산 안에서 무엇에부터 투자할지를 결정하는 작업) 등 솔루션을 제시할 계획이다.

이 대표는 “핵심은 각각의 개별 통제 솔루션을 직접 만들기보다, 기관이 N²SF를 운영할 때 판단과 선택을 가능하게 하는 도구와 방법론을 만들어 주는 것”이라고 설명했다.

“혼자는 못해”…국내 보안업계의 숙제는 ‘연동’과 ‘표준화’

이 대표는 N²SF 확산이 국내 보안업계에도 숙제를 던지고 있다고 말했다. N²SF 가이드라인에는 특정 상황에서 예상되는 위협과 권장 통제가 제시되는데, 이 통제를 국산 솔루션으로 촘촘히 구현하려면 제품 간 연동이 필수다. 그런데 현실은 표준화·애플리케이션 프로그래밍 인터페이스(API) 공유가 충분하지 않아 통합이 막히고, 이 상태가 지속되면 외산 풀스택 솔루션이 시장을 장악할 수 있다고 우려했다.

또 다른 구조적 문제로 “국내 보안 기업들이 대부분 특정 분야 단일 솔루션에 강하다”는 점도 짚었다. 통합을 해야 한다는 문제의식은 있지만, 실제로 이기종 제품을 붙이고 운영까지 이어주는 역량이 중요해진다는 것이다.

이런 상황에서 그가 그리고 있는 그림은 ‘고객의 선택지가 늘어나는 시장’이다. 지금은 기관이 보안업체 한 곳을 문의하면 그 업체가 협력사들 중심으로 견적을 구성하는 일이 흔한데, 선택지를 넓히기 위해서는 N²SF의 통제 항목 별로 충족 가능한 솔루션 후보군을 나열하고, 장단점을 비교해 주어진 예산에 맞춰 고를 수 있게 안내해줄 수 있어야 한다는 것이다. 그는 이를 위해 여러 보안기업들과 논의하며 협력을 넓히고 있다고 말했다.

아울러, 그는 현재 기관에서 가장 어려워하는 지점이 ‘업무 정보 식별과 보안 등급 분류’라고 말했다. 이 부담 때문에 “전부 다 기밀(C)로 보자”고 하기 쉽지만, AI·외부 협업 요구를 거스를 수 없는 시대에는 결국 전문적인 설계가 필요하다는 것이다.

이 대표는 “등급 분류를 제대로 해두면 이후 통제 항목 설계가 훨씬 매끄러워진다”며 “앞으로 생산될 업무 데이터는 설계를 통해 분류를 할 수 있다. 하지만 이미 쌓인 지난 데이터를 어떻게 분류할 것인지는 또 다른 과제이며, 그 역시 보안업계가 함께 풀어가야 한다”고 덧붙였다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network