공공 보안 패러다임 대전환, 국가망보안체계(N²SF)
[기획/N²SF 전환①] ‘망을 분리하는 보안’에서 ‘위험관리체계‘ 기준 보안으로
정부·공공 분야 업무 환경에서 보안성 확보를 이유로 인터넷과 업무망을 분리해 사용해온 ‘망분리’ 정책이 오랫동안 시행돼 왔다. 이같이 통제된 환경은 보안성은 높았으나 업무상 불편과 비효율성을 가중시켰고, 무엇보다 신기술 등장으로 인해 변화하는 환경에선 제약이 컸다. 원격접속·클라우드·생성형 인공지능(AI)처럼 업무 환경이 변화하고 다양해지면서 망을 일률적으로 나누는 구조가 업무 효율과 신기술 도입을 제약한다는 목소리가 점점 커졌다.
이런 변화 속에서 정부는 대안으로 국가망보안체계(N²SF)를 제시했다. N²SF는 망을 나누는 방식이 아니라 데이터의 중요도와 위험을 기준으로 보안 통제를 설계하는 접근이다. 기관은 먼저 업무 데이터의 등급을 나누고, 데이터가 이동·처리되는 흐름에서 가능한 위협을 식별한 뒤, 등급과 위험에 맞는 보안 통제를 적용하고 점검한다. 바이라인네트워크는 N²SF 가이드라인과 실증 현장의 사례를 바탕으로, 공공 보안이 무엇을 기준으로 바뀌는지와 전환 과정에서 제기되는 도전과제를 짚어본다.
<목차>
① 공공 보안 패러다임 대전환, N²SF (이번호)
② N²SF, 제로트러스트 품었다
③ “N²SF, 왜 지금인가?” N²SF 가이드라인 주 집필진, 이철호 앤플러스랩 대표 인터뷰
④ N²SF 실증 사례 : SGA솔루션즈 “컨설팅 단계가 핵심”
⑤ N²SF 실증 사례 : 지니언스 “단말 검증에서 시작되는 N²SF”
⑥ N²SF 실증 사례 : 모니터랩 “생성형 AI 쓰는 순간, 데이터는 통제 대상”
⑦ N²SF 실증 사례 : 프라이빗테크놀로지 “단계적 전환이 필요하다”
⑧ N²SF 실증 사례 : 엔키화이트햇 “계속 점검해야 완성되는 N²SF”
⑨ N²SF가 나아갈 길 : 향후 과제
국정원이 만든 국가망보안체계(N²SF, National Network Security Framework)는 공공의 업무와 데이터의 중요도·민감도에 따라 보안통제를 차등 적용하는 보안 체계다. 공공기관이 정보서비스를 설계·구축할 때 ▲무엇을 보호해야 하는지부터 정리하고(등급 분류) ▲어떤 위협이 가능한지 식별한 뒤(위협 식별) ▲필요한 통제를 선택·구현하고(보안대책 선정) ▲적절성을 점검·조정하는(적절성 평가) 절차를 제시한다.
미국 위험관리 프레임워크 토대로 설계된 N²SF
N²SF는 미국 국립표준기술연구소(NIST)가 제시한 ‘위험관리 프레임워크(RMF)’ 개념을 토대로 설계됐다. RMF는 조직이 보안 위험을 관리할 때 위험을 식별하고 통제를 선택·평가·운영하는 절차다. NIST RMF는 미국 연방정부 기관이 활용해 온 7단계 절차로, 보안을 한 번 구축하고 끝내는 방식이 아니라 지속 점검과 보완을 전제로 한 프레임워크다.
국정원은 망분리 정책을 개선하는 과정에서 RMF의 위험 기반 원칙을 N²SF 절차에 반영했다. N²SF는 RMF를 공공기관 환경에 맞게 재구성해, 실무자가 따라갈 수 있는 단계와 산출물 중심으로 구체화했다.
현장에서는 N²SF를 “공공 영역에서 RMF 방식으로 넘어가기 위한 프레임워크”로 해석하기도 한다. N²SF 가이드라인 주 집필진으로 참여한 한 보안 전문가는 “N²SF가 확장되면 RMF로 가는 흐름”이라고 말했다. 그는 금융권이 규정 준수 확인 중심에서 벗어나 기관이 위험을 평가하고 통제를 선택하는 ‘자율 보안 프레임워크’ 흐름을 가져가고 있다고 설명했다. 국방 분야는 별도의 위험관리 체계인 ‘국방 위험관리 프레임워크(K-RMF)’ 논의를 이어가고 있다는 취지로도 덧붙였다.
RMF 개념의 핵심은 ‘망을 어떻게 나눌 것인지’보다 ‘업무와 데이터가 무엇이고, 어디로 이동하며, 그 과정에서 어떤 위협이 가능한가’를 정리하는 데 있다. 그 결과에 따라 통제를 고른다. 보안의 출발점을 네트워크 경계에서 업무·데이터 흐름과 위험으로 옮기는 접근이다.
데이터 등급 분류로 시작하는 차등 통제…일률적 망분리에서 ‘설계형 보안’으로
망분리 체계에서 보호의 기본 단위는 ‘망’이었다. 업무망과 인터넷망을 나누고, 망 사이 이동을 막거나 제한해 네트워크 경계를 중심으로 데이터를 보호했다. 이 방식은 내부망을 상대적으로 안전한 구역으로 가정하는 전제가 깔려 있고, 데이터의 민감도가 달라도 같은 망 안에 있으면 비슷한 규칙으로 관리되기 쉽다. 결과적으로 데이터 보호가 “어느 망에 있느냐”에 크게 좌우됐다.
반면 N²SF는 보호 단위를 ‘망’보다 업무정보와 데이터 등급으로 먼저 잡는다. 국정원이 2025년 9월 공개한 ‘N²SF 가이드라인 1.0’은 핵심 요소로 ‘데이터 등급 분류’와 ‘차등 통제’를 제시한다. 가이드라인은 업무정보와 시스템을 기밀(Classified, C)·민감(Sensitive, S)·공개(Open, O) 3등급으로 분류하도록 한다.
등급 분류는 기관의 임의 판단만으로 결정하지 않도록 설계했다. 정보공개 관련 법령과 보안업무규정 등 근거에 따라 기준을 잡는 방식이다. 예를 들어 기밀(C)은 안보·국방·외교·수사와 직결된 정보처럼 유출 시 국민 생명이나 재산에 영향을 줄 수 있는 범주를 포함한다. 민감(S)은 개인정보나 행정 내부자료처럼 유출 피해가 우려되는 정보로 본다. 공개(O)는 외부 공개가 가능하거나, 비공개 필요성이 사라진 정보로 분류한다.
N²SF는 같은 업무망 안에 있어도 기밀(C)과 공개(O)의 위험도가 다르다고 본다. 데이터가 어디로 이동하고 누구에게 접근되는지까지 포함해 흐름과 위험을 기준으로 통제를 설계한다. 필요하면 망분리도 통제 수단으로 선택할 수 있지만, 망분리 자체가 목적이 아니라 등급 분류와 위협 분석의 결론으로 채택되는 옵션이 된다.
이 차이 때문에 N²SF는 ‘연결을 전제로 한 데이터 보호’에 초점을 둔다. 기관 간 협업이나 외부 서비스 연동이 불가피한 환경에서도, 어떤 데이터가 어떤 조건에서 이동할 수 있는지부터 정한다. 그 조건을 인증, 권한, 단말 보안 상태, 암호화, 반출입 승인 같은 통제로 강제한다.
N²SF 가이드라인은 통제 항목을 권한, 인증, 분리·격리, 통제, 데이터, 정보자산 6개 대항목으로 구분한다. 세부 통제 항목은 270여개 수준으로 제시했다. 기관은 데이터 등급과 위협 분석 결과에 따라 통제를 조합해 적용한다. 국정원은 가이드라인 공개 당시 N²SF로 공공의 보안성을 높이면서도 동시에 데이터를 원활하게 공유할 수 있도록 만들겠다는 목표를 제시한 바 있다.
N²SF는 이 원칙을 데이터 생애주기 전반에 적용한다. 데이터가 생성·저장·사용·전송·백업·보관·파기되는 과정마다 통제 지점이 달라진다. 생성 단계에서 등급을 부여해 기준을 세우고, 저장 단계에서는 권한 최소화와 감사로그, 암호화와 키 통제로 접근을 좁힌다. 사용 단계에서는 로그인 여부만 보지 않고 단말 보안 상태와 세션 조건까지 점검해 열람·편집 권한을 유지하거나 차단한다. 전송 단계에서는 이동을 원천 차단하기보다 ‘누가·어디로·어떤 방식으로’ 보낼 수 있는지 승인 절차와 암호화, 기록으로 조건부 이동을 강제한다. 백업·복구는 원본 등급을 계승하게 해 사각지대를 줄이고, 보관·파기 단계에서는 보유기간과 파기 기록까지 포함해 남아 있는 위험을 정리한다.
보안업계에 따르면, N²SF를 구축하는 현장에서 가장 많이 부딪히는 지점은 ‘어디까지 통제해야 하는가’다. 선택지가 늘어난 만큼, 등급과 위협, 근거에 따라 통제를 조합하는 역량이 필요해졌다. 어떤 업무 흐름에서 어떤 데이터가 어디로 이동하는지, 그 과정에서 어떤 위협이 가능한지, 그 위협을 줄이기 위해 어떤 통제가 적절한지까지 기관이 설명할 수 있어야 한다. N²SF 전환이 기술 도입보다 먼저 판단 기준과 설계 역량을 요구하는 이유가 여기에 있다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
