김승주 고려대학교 정보보호대학원 교수(출처=바이라인네트워크)
|

김승주 고려대 교수가 본 ‘N2SF 전환이 어려운 이유’

“국내의 공공기관과 기업들이 국가망보안체계(N2SF) 전환을 막막해하는 이유는 가이드라인이 어려워서가 아닙니다. 데이터 등급 분류, 위협 모델링, 보안 내재화의 본질을 제대로 이해하지 못했기 때문입니다.”

김승주 고려대학교 정보보호대학원 교수는 13일 서울 여의도 FKI타워 그랜드볼룸에서 열린 ‘아톤 시큐리티 서밋 2026(ATON Security Summit 2026)’에서 이같이 말했다. 김 교수는 “공공 보안 체계가 획일적 망분리에서 데이터 중요도 중심 보안으로 전환하고 있지만, 국내 기업과 기관이 이를 받아들일 기초 역량을 충분히 갖추지 못했다”고 진단했다.

그가 말한 기초 역량은 단순히 보안 솔루션을 많이 갖추는 것을 뜻하지 않는다. ▲조직 안의 데이터를 중요도에 따라 나누는 ‘데이터 등급 분류’ ▲공격자가 어떤 경로로 침투할 수 있는지 시나리오를 그리는 ‘위협 모델링’ ▲개발과 운영 전 과정에 보안을 넣는 ‘보안 내재화’를 할 수 있는 역량을 의미한다.

망분리에서 ‘데이터 중심 보안’으로

김 교수는 N2SF가 나온 배경을 설명하며 ‘망분리’를 언급했다. 그는 “망분리 제도가 시행된 시점은 2006년”이라며 “당시에는 해킹 사고가 많았기 때문에 업무 시스템 전체를 인터넷과 단절시키는 극약 처방을 할 수밖에 없었다”고 설명했다.

하지만 AI와 클라우드 활용이 늘면서, 망분리 체계는 한계에 부딪히기 시작했다. 김 교수에 따르면, 미국 등 해외의 주요 국가들은 중요한 정보와 시스템에 대한 접근을 모두 차단하기보다 데이터와 시스템 중요도에 따라 내부를 잘게 나눈다. 이를 마이크로세그멘테이션(Micro-segmentation)이라고 한다. 내부망을 작은 구역으로 나누고, 각 구역의 중요도에 따라 접근 권한과 보안통제를 달리 적용하는 방식이다.

그는 “미국은 데이터 중요도에 따른 탄력적인 보안 체계를 오래전부터 갖고 있었다”며 “데이터 활용과 보호를 적절히 섞어 쓸 수 있다는 장점이 있다”고 설명했다. 이어 “국정원이 해외의 동향을 몰라서 획일적 망분리를 택한 것은 아니라고 본다”며 “일선 기관이 데이터 등급을 잘못 나누면 기밀 정보가 낮은 등급으로 분류될 수 있다는 우려가 컸을 것이고, 사고 책임 문제 때문에 현장에서 전환을 꺼리는 구조가 굳어져 지금까지 온 것”이라고 덧붙였다.

이런 흐름은 최근 제도 변화로 이어졌다. 국정원은 작년 9월 N2SF 가이드라인 1.0을 공개하고, 기존 망분리 체계를 데이터 중요도 기반 보안 체계로 바꾸는 절차와 통제 기준을 제시했다. 이후 지난 5월 1일부터 시행된 국가 사이버보안 기본지침에는 기존 내부망·인터넷망 분리 조항이 삭제되고 N2SF 기준이 반영됐다.

제도는 바뀌었지만, 현장의 준비 수준은 아직 충분하지 않다는 게 김 교수의 진단이다. N2SF가 요구하는 것은 단순한 망 구성 변경이 아니라, 조직 안의 데이터와 시스템을 다시 들여다보고 위험을 판단하는 역량이기 때문이다.

N2SF의 출발점 ‘데이터 등급 분류’ 잘 하려면

김 교수는 N2SF 전환을 잘 하기 위해서는 ’데이터 분류’를 제대로 해야 한다고 짚었다. 어떤 데이터를 보호해야 하는지, 어느 수준으로 보호해야 하는지 정하지 못하면 모든 정보가 같은 등급으로 묶이기 때문이다. 김 교수는 “출발점인 데이터 분류부터 막히는 경우가 많은데, 데이터의 실제 성격과 쓰임보다 문서나 파일 단위에 갇히는 경우가 많아서 그렇다”고 지적했다.

김 교수는 특히 ‘파일 기반(file-based) 분류’와 ‘자산 기반(asset-based) 분류’의 차이를 설명했다. 파일 기반 분류는 문서나 파일 하나를 통째로 보고 등급을 매기는 방식이다. 예를 들어 진단서 파일 안에 민감한 개인정보가 일부라도 들어 있으면, 문서 전체를 높은 등급으로 분류하게 된다. 이 경우 실제로는 공개해도 되는 일반 설명 문구나 통계 정보까지 민감정보로 묶인다.

반면 자산 기반 분류는 데이터가 어떤 업무와 시스템에서 쓰이는지, 어떤 정보자산과 연결되는지, 실제 보호 가치가 어느 정도인지 따져 등급을 나누는 방식이다. 같은 진단서 안에서도 환자 이름, 주민등록번호, 진료 기록, 일반 안내 문구는 보호 수준이 다를 수 있다. 이처럼 데이터의 성격과 쓰임을 세분화해야 기밀(C)·민감(S)·공개(O) 등급을 현실적으로 나눌 수 있다는 설명이다.

여기서 중요한 개념이 ‘데이터 세분도(Data Granularity)’다. 데이터 세분도는 데이터를 어느 단위로 쪼개 등급을 정할지를 뜻한다. 파일 하나를 통째로 보면 대부분 높은 등급이 되지만, 항목 단위로 나누면 실제 보호해야 할 정보와 활용 가능한 정보를 구분할 수 있다.

분류가 제대로 되지 않으면 현장에서는 두 가지 문제가 생긴다. 하나는 모든 정보를 높은 등급으로 묶어 기존처럼 물리적 망분리를 유지하는 방식으로 돌아가는 것이다. 다른 하나는 반대로 중요한 정보를 낮은 등급으로 잘못 분류해 보안 위험을 키우는 것이다. 김 교수는 이 때문에 데이터의 실제 성격과 쓰임을 기준으로 등급을 나누는 경험이 필요하다고 봤다.

김 교수는 “등급 분류를 해봤더니 전부 C등급이라고 말하는 기업들이 있다”며 “데이터 등급 분류 단위를 제대로 잡지 못했기 때문”이라고 말했다.

‘위협 모델링’ 없이는 우선순위도 없다

데이터 등급을 나눴다면, 다음 단계는 위협을 식별하는 ‘위협 모델링’이다. 어떤 데이터가 중요한지 알아도, 공격자가 그 데이터에 어떻게 접근할 수 있는지 모르면 실효성 있는 보안 전략을 세우기 어렵다.

위협 모델링은 조직의 전산 시스템 구조를 모델로 만들고, 공격자가 어떤 경로로 침투할 수 있는지 미리 시뮬레이션하는 작업이다. 단순 점검표 작성이 아니라 시스템 구조, 데이터 흐름, 운영체제, 네트워크 연결 정보를 바탕으로 공격 경로를 추정하는 설계 단계의 보안 활동이다.

김 교수는 “국내의 위협 모델링 인식과 수준이 낮다”고 짚었다. 보안을 제품이나 시스템을 설계할 때부터 반영하는 과정으로 보기보다, 개발이 끝난 뒤 취약점을 찾아내는 검사 절차로 이해하는 경우가 많다는 것이다. 그는 “시스템 안에 어떤 자산이 있고, 공격자가 어느 경로로 이동할 수 있으며, 어떤 지점이 가장 치명적인지를 구조적으로 따지는 훈련이 부족하다”며 “위협 모델링은 조직의 전산 시스템을 추상화한 뒤 어떤 위협이 생길 수 있는지 시뮬레이션하는 것이라, 모델링이 제대로 돼 있어야 가능한 위협도 제대로 식별할 수 있다”고 말했다.

AI 기반 취약점 탐색 도구가 확산될수록 위협 모델링의 중요성은 더 커진다. 취약점이 짧은 시간에 대량으로 발견되면 모든 취약점을 한꺼번에 고칠 수 없다. 시스템 안정성을 해치지 않으려면 공격자가 반드시 지나야 하는 길목과 치명도가 높은 취약점을 먼저 찾아야 한다.

김 교수는 최근 논란이 되고 있는 앤트로픽의 최신 AI 모델 미토스를 언급하며 대량 취약점 공개 상황을 예로 들었다. 그는 “앤트로픽이 프로젝트 글래스윙을 통해 오는 7월 수많은 취약점을 공개하면, 수많은 취약점이 나올텐데 모든 취약점을 한꺼번에 업데이트할 수는 없다”며 “위협 모델링을 통해 중요한 길목을 막고, 위험성이 높은 취약점을 먼저 고쳐야 한다”고 조언했다.

보안 내재화, 시큐어 코딩만으로는 부족

데이터 등급 분류와 위협 모델링 역량이 약하다는 지적은 보안 내재화 논의로 이어졌다. 보안 내재화는 개발이 끝난 뒤 취약점 테스트만 하는 일이 아니다. 요구사항 분석, 설계, 구현, 테스트 전 과정에 보안을 넣는 일이다.

김 교수는 “우리는 보안 내재화를 수차례 말해왔지만, 실제로는 정적 분석과 동적 분석 같은 코드 테스트에 치우쳐 있었다”며 “요구사항 분석과 설계가 비어 있는데 코드 테스트만으로 보안 내재화가 됐다고 말해왔다”고 지적했다.

또한 김 교수는 보안 내재화를 위한 인증 제도에 대한 이해도 부족하다고 봤다. 공통평가기준(CC)인증, 암호모듈검증(CMVP)은 제품과 시스템에 보안이 처음부터 들어갔는지 평가하는 제도다. 그런데 국내에서는 이를 통과 시험처럼 이해하는 경향이 있다는 지적이다.

그러면서 그는 미국의 ‘위험관리 프레임워크(RMF, Risk Management Framework)’를 예로 들었다.  RMF는 정보시스템을 분류하고, 보안통제를 고르고, 구현한 뒤 평가와 승인, 지속 점검까지 이어가는 절차다. 김 교수는 “N2SF도 RMF를 참고한 만큼 데이터 등급 분류와 위협 모델링을 형식적으로 인식하면 제대로 된 보안 내재화가 이뤄질 수 없고, 결국 현장에서는 N2SF 전환이 어려울 수밖에 없다”고 강조했다.

이어 “정부와 기업은 보안 내재화와 평가 인증을 정말 많이 얘기했지만 본질을 파악하지 못했다”며 “지금은 밀린 숙제를 한꺼번에 하는 상황”이라고 말했다.

끝으로 김 교수는 “보안 내재화에 대한 이해 부족은 N2SF 전환을 어렵게 만들고, 그러면 결국 AI와 클라우드 활용에도 제한이 걸린다”고 다시 한 번 강조했다. N2SF는 단순히 망분리 규제를 완화하는 제도가 아니라, 새로운 기술을 통제 가능한 방식으로 쓰기 위한 보안 체계다. 데이터를 등급화하고, 위협을 모델링하고, 시스템 설계 단계부터 보안을 반영해야 AI와 클라우드도 안전하게 쓸 수 있다는 뜻이다.

이어 그는 “조직 내 모든 전산 시스템을 C등급으로 분류하면 물리적 망분리를 유지할 수 있다. 다만 그런 상태에서 AI나 클라우드를 하겠다고 말해서는 안 된다”며 “이미 주사위는 던져졌다. AI의 시대로 넘어왔기 때문에 이제 N2SF를 해야 하고, 그러려면 앞서 말한 보안의 기초 역량을 키워가야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.