| |

프라이빗테크놀로지 “현실에 맞는 단계적 적용 필요”

[N²SF 전환] DPG 통합플랫폼 실증 주관…통제 항목 ‘전부 구현’은 예산·연동·운영 부담 키워

<목차>
공공 보안 패러다임 대전환, N²SF
N²SF, 제로트러스트 아키텍처 품었다
N²SF 가이드라인 주 집필인이 본 공공 보안의 숙제 – 이철호 엔플러스랩 대표 인터뷰
N²SF 실증사례 : SGA솔루션즈 “뼈대인 컨설팅 단계가 핵심” 
N²SF 실증사례 : 지니언스 “단말 검증에서 시작되는 N²SF” 
N²SF 실증사례 : 모니터랩 “생성형 AI 쓰는 순간, 데이터는 통제 대상”
⑦ N²SF 실증사례 : 프라이빗테크놀로지 “단계적 전환이 필요하다”(이번호)
⑧ N²SF 실증사례 : 엔키화이트햇 “계속 점검해야 완성되는 N²SF”
⑨ N²SF가 나아갈 길 : 향후 과제

지난해 국가정보원 주도로 진행된 국가망보안체계(N²SF) 실증에서 프라이빗테크놀로지는 ‘디지털플랫폼정부(DPG) 통합플랫폼’ 과제를 주관했다. 기관 간 데이터 연계·공유를 전제로, 업무 정보와 정보시스템을 식별하고 기밀(C)·민감(S)·공개(O) 등급으로 분류한 뒤 위협을 정리해 통제 항목과 정책을 세우고 적절성 평가까지 이어지는 절차를 현장에 맞게 적용하는 작업이다.

바이라인네트워크와 만난 박승민 프라이빗테크놀로지 전략추진본부 부장은 “N²SF는 망분리 해제 자체가 목적이 아니다”며 “전 기관·전 업무를 한 번에 바꾸기보다 특정 서비스부터 적용하는 단계적 전환이 현실적”이라고 말했다.

연계’보다 ‘데이터 이동 통제하는 설계’가 중요

프라이빗테크놀로지가 실증에서 맡았다고 밝힌 역할은 ‘보안 장비를 더 붙이는’ 수준이 아니라, 기관 간 데이터가 오가는 구간을 N²SF 관점에서 다시 정의하는 일이었다. 여러 부처 데이터가 섞이는 DPG 통합플랫폼 특성상 관건은 연결 자체가 아니라 “데이터가 어디로 이동하고, 그 이동을 어떤 조건으로 허용·차단할지”였다. 프라이빗테크놀로지는 연계 구간에서 통신 흐름을 식별·검증하고, 선 인증 같은 방식으로 데이터 이동의 무결성을 확보하는 설계를 실증에 반영했다고 설명했다.

이 과정은 제품 측면의 재구성으로도 이어졌다. 프라이빗테크놀로지는 제로트러스트 보안 솔루션으로 출발했지만, N²SF 통제 항목에 맞춰 적용 가능한 기능을 넓히는 방향으로 제품을 손보고 있다고 밝혔다. 보안 통제 항목이 많아질수록 운영 부담이 커지는 만큼, 추가 보안 솔루션까지 자동으로 연동할 수 있도록 애플리케이션 프로그래밍 인터페이스(API)를 늘리고, ‘자동화’ 요구에 맞춰 단말 자동 통제 같은 기능도 강화하는 흐름이다.

수용 기준선이 있어야 단계적 전환이 굴러간다

박 부장이 N²SF 적용에서 강조한 또 다른 키워드는 ‘임계치선(수용 기준선)’이다. N²SF 가이드라인의 보안 통제 항목은 촘촘하지만, 하나도 빠짐없이 전부 구현하는 것을 목표로 잡으면, 공공기관의 여건상 시작부터 부담이 될 수 있다는 설명이다. 그는 “통제 항목 1개를 지키기 위해 보안 솔루션이 1개 이상으로 필요한 경우도 있다”며 “그렇게 되면 예산이 부족한 기관은 적용이 어렵다”고 말했다.

그래서 필요한 게 ‘어디까지 하면 위험을 관리 가능한 수준으로 낮췄다고 볼지’에 대한 기준선이다. 예를 들어 통제 항목이 270개라면 250개를 충족했을 때, 남은 20개를 어떤 근거로 유예할 수 있는지 같은 판단 기준이 있어야 적용이 확산된다는 설명이다. “지켜야 한다”만 있고 “무엇은 당장 어렵고 무엇은 다음 단계로 미룰 수 있는지”가 정리돼 있지 않으면, 결국 현장에서는 전환에 대한 압박을 받게 되고 동력이 꺾일 수 있다는 취지다.

분류·식별이 승부처한 사이클 최소 4~6개월 잡아야

DPG 통합플랫폼 과제는 ‘보안 장비를 붙이는 일’보다 앞단의 설계 작업 비중이 큰 실증이었다. 박 부장은 N²SF 적용 절차를 “업무 정보와 정보시스템을 식별한 뒤 데이터 분류와 C·S·O 등급 분류를 하고, 위협을 식별해 어떤 보안 통제 항목을 적용할지 정한 다음, 보안 솔루션에 정책을 세우고 적절성 평가까지 간다”고 설명했다.

그는 “기관 전체를 한 번에 다 하려고 접근하면 현실적으로 장기전이 된다”며 “기관 전체의 모든 정보를 대상으로 분류와 흐름 정리를 하려면 실증보다 훨씬 더 오랜 기간이 소요될 것”이라고 설명했다. ‘특정 서비스’를 기준으로 해당 서비스가 다루는 정보부터 정리하는 방식이 먼저라는 것이다.

또한 그는 “N²SF는 아직 초기라 적절성 평가까지 가려면 최소 4~6개월 정도는 걸리는 것 같다”며 “업무 정보 식별이 깔끔하게 정리돼 있으면 빠르지만, 안 되는 곳은 1~2개월씩 걸리기도 한다”고 말했다. 결국 한 번의 적용 사이클을 최소 4~6개월로 보고, ‘어떤 서비스부터’ ‘어떤 위험부터’ 할지를 확실하게 컨설팅 단계에서 정리해서 시작해야 원활한 적용이 가능하다고 강조했다.

남은 과제는 제도·확산·연동실태 평가가 현실의 견인차

박 부장은 N²SF 전환 국면에서 ‘망분리’에 대한 오해도 함께 짚었다. 그는 “망분리는 살아 있다고 봐야 한다”며 “망분리를 통해서 해야 되는 영역도 있고, 보안 통제부터 우선 적용해야 하는 상황으로 봐야 한다”고 말했다. “점진적으로 봐야 하고, 향후 법률적으로 선언이 돼야 한다”는 언급도 이어졌다. 전환 흐름이 생겼다고 해서 현장의 제도·요구가 단숨에 정리되는 게 아니라는 뜻이다.

기관의 수용성도 과제다. 박 부장은 공공기관의 보안 담당자가 순환 보직인 경우가 많아 N²SF 인지가 높지 않고, 설명을 하면 “어렵다”는 반응이 먼저 나온다고 말했다. 그는 이 때문에 자발적 확산보다 ‘실태평가’가 전환을 밀어붙이는 현실적 동력이 될 수 있다고 봤다. 실태평가 점수가 기관 경영평가에 반영되는 구조에서 “해야만 하는 상황이 만들어지고 있다”는 설명이다.

다만 그는 전환이 ‘부담만 늘리는 변화’로 끝나지 않는다고 덧붙였다. 망분리 환경에서는 업무망에서 인공지능(AI)이나 클라우드 같은 민간 서비스를 전혀 사용하지 못하는 경우가 많고, 이를 쓰려면 인터넷망으로 옮겨가는 식의 비효율이 생긴다. N²SF를 적용하면 업무용 컴퓨터에서 필요한 서비스를 쓰는 방향으로 업무 효율이 올라가고, 업무 시간도 줄어들 수 있다는 것이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.