국가망보안체계 가이드 1.0 발표 앞두고 보안업계 대응 활발
국가정보원이 9일 열리는 ‘사이버안보 컨퍼런스 2025(CSK 2025)‘에서 국가망보안체계(N²SF, National Network Security Framework) 가이드라인 1.0 버전을 공개할 예정이다. 지난 1월 초안(드래프트 버전)이 공개된 이후 8개월만이다.
망분리 제도가 도입된 지 18년 만에 대대적인 개편이 추진되면서 보안업계는 발 빠르게 움직이고 있는데, 가이드라인이 나오면 더욱 분주해질 전망이다. 이미 SGA솔루션즈, 프라이빗테크놀로지 등이 2025년 실증사업 주관사로 참여하고 있다. 지니언스, 안랩 등 보안기업들도 제로트러스트 같은 기술 역량을 앞세워 대응 체계를 준비하고 있다.
N²SF는 기존 망분리 정책을 대체하는 새로운 보안 프레임워크다. 지금까지는 내부망과 인터넷망을 무조건 분리해 사이버 공격을 차단했지만, 클라우드·재택근무·인공지능(AI) 활용이 늘면서 업무 효율성과 신기술 도입이 크게 제약을 받았다.
N²SF의 핵심은 기관이 보유한 업무와 데이터를 중요도에 따라 구분하고, 그에 맞는 보안 통제를 달리 적용하는 것이다. ▲기밀(C) 등급은 국가 기밀이나 핵심 인프라 관련 데이터로 기존 망분리 수준의 강력한 보안이 유지된다. ▲민감(S) 등급은 개인정보와 행정자료 등이 포함되며, 다중인증과 접근통제 같은 강화된 보안 조치가 요구된다. ▲공개(O) 등급은 일반 공개 가능한 자료로, 데이터 활용성과 개방성을 넓히는 방향에서 보다 유연한 보안 통제가 적용된다.
즉, N²SF는 모든 망을 일률적으로 차단하는 대신 보안성과 활용성을 동시에 확보하는 맞춤형 체계다. 기관들은 C/S/O 등급에 맞춰 제로트러스트 네트워크 접근제어(ZTNA), 네트워크 접근 제어(NAC), 엔드포인트 탐지 및 대응(EDR), 암호화 등 보안 기술을 적절히 배치할 수 있다. 국정원은 이를 통해 보안을 유지하면서도 공공 데이터 공유와 디지털 혁신을 가속화하겠다는 목표다.
N²SF, 공공망·플랫폼·AI서 실험대 오른다
N²SF 실증사업은 국정원이 정책을 총괄하고, 과학기술정보통신부와 한국인터넷진흥원(KISA)이 운영을 맡고 있다. 현재 수요기관이 정해져 있고, 주관기업과 계약이 마무리 단계다. 공공기관이 실증 대상이다.
KISA 디지털정부보호팀 관계자는 “국정원과 협력해 시범 실증을 담당하고 있다”며 “올해 실증사업의 경우, 계약이 대부분 마무리 단계에 있고 곧바로 사업을 시작할 수 있을 것”이라고 말했다. 이어 “제로트러스트 기술이 중요한 축이긴 하지만, NAC, EDR, 암호화 등 다양한 기술이 조합돼야 한다”며 “단일 기술로 모든 걸 해결할 수는 없고 프레임워크 기반 접근이 필요하다”고 설명했다.
올해 추진되는 N²SF 실증사업은 세 가지 분야로 나뉜다. ▲국가·공공기관망 ▲디지털플랫폼정부(DPG) 통합플랫폼 ▲범정부 초거대 AI 공통기반이다. 이는 공공기관이 실제로 사용하는 대표적인 환경을 반영한 것으로, 새로운 보안 프레임워크가 현실에서 어떻게 작동하는지를 검증하기 위한 목적을 갖는다.
첫 번째는 국가·공공기관망 대상 사업이다. 중앙부처나 지방자치단체처럼 국가 주요 기관의 내부망 환경에 N²SF를 적용한다. 지금까지는 물리적으로 망을 나누는 방식만 가능했지만, 앞으로는 C/S/O 등급화와 제로트러스트 기반 통제를 접목했을 때 어떤 효과가 있는지를 확인한다. 이 과제를 맡은 SGA솔루션즈는 “공공에서 물리적 망분리만으로는 한계가 명확하다”며 “178개 통제 항목을 제로트러스트 방식으로 구현해야 빠르게 진화하는 위협에 대응할 수 있다”고 강조한 바 있다.
두 번째는 디지털플랫폼정부(DPG) 통합플랫폼 대상 사업이다. 여러 부처와 기관의 데이터와 서비스를 하나의 플랫폼에서 연계·공유하는 과정에서 보안은 핵심 과제다. 이 과제의 수행 기업으로는 프라이빗테크놀로지가 선정됐다. 프라이빗테크놀로지는 오버레이 네트워크와 양자내성암호 기술을 접목해 데이터 연계 과정에서 발생할 수 있는 위험을 줄이고, 기관 간 데이터 공유를 안전하게 지원하는 모델을 검증한다.
세 번째는 범정부 초거대 AI 공통기반 대상 사업이다. 공공분야 AI 활용이 늘면서 다수 기관의 데이터가 모이고, 이를 학습·활용하는 과정에서 보안 위협도 커지고 있다. 이 과제를 맡은 투이컨설팅은 AI 데이터셋 분류, 결과 무결성 검증, 권한별 통제 등 ‘데이터 보호’ 항목을 중심으로 한 아키텍처를 설계해, N²SF 원칙을 AI 환경에 적용하는 실증을 진행하게 된다.
KISA 관계자는 “이번 세 과제는 단순한 시범사업이 아니라 실제 공공기관이 직면하는 대표 업무 환경을 반영한 것”이라며 “실증을 통해 가이드라인이 현장에서 어떻게 적용되는지를 검증하는 성격이 크다”고 말했다.
N²SF 시장 준비 나서는 보안업계
국내 보안기업들 역시 이런 흐름에 맞춰 발 빠르게 대응을 준비하고 있다. 지금까지는 ‘망분리 솔루션’이 공공기관 보안시장의 주류였다면, 이제는 N²SF에 따라 제로트러스트, 보안 서비스 엣지(SSE), 공격표면관리(ASM) 같은 새로운 보안 모델이 시장의 핵심으로 자리 잡을 가능성이 커지고 있기 때문이다.
지니언스는 제로트러스트 아키텍처(ZTA) 기반 보안 플랫폼을 앞세운다. 정책결정·시행 지점(PDP/PEP) 기반 정책 체계, 계정·권한 관리(IAM), 엔터프라이즈 통합 게이트웨이(EIG) 아키텍처를 통해 정책 일관성과 통합 관리를 지원한다. NAC·EDR 같은 단말 보안 기술, ZTNA·망연계 솔루션(CDS)·보안 웹 게이트웨이(SWG) 등 도메인 연계 체계까지 유기적으로 연동할 수 있다는 점에서 차별성을 갖는다는 것이 회사측 설명이다. 지니언스는 2023~2024년 과기정통부·KISA 주관 제로트러스트 시범·실증사업에도 참여한 바 있다.
지니언스 관계자는 “ZTA를 통해 N²SF가 요구하는 통합 정책 체계와 연계 보안 통제를 구현할 수 있다. 가이드라인 제도화 이후 선제 대응 역량을 확보하고 있다“고 설명했다. 이어 “전략적 얼라이언스를 통해 N²SF 가이드라인에 제시된 8대 정보서비스 모델별 최적화된 보안 해법을 공동 개발하며, 제도화 이후 시장 대응을 준비할 것”이라고 설명했다.
안랩은 과기정통부·KISA가 추진하는 SSE 기반 제로트러스트 보안모델 실증사업에 모니터랩과 함께 참여해 올해 말까지 실제 환경에서 검증을 진행하고 있다. 실증사업에서 안랩은 V3와 EPP/EDR을 통해 단말의 실시간 위협을 분석하고, 이를 제로트러스트 관점에서 정책에 활용할 수 있도록 지원하고 있다. 또한 안랩 XDR을 구성해 사용자와 자산에 대한 전반적인 리스크를 분석하고, 그 결과를 내부 리소스 접근 정책에 반영하고 있다.
아울러, 엔드포인트 보안, 네트워크 보안, 클라우드 보안 등에서 제공하는 제품과 서비스를 통해 N²SF가 제시하는 178개 통제 항목을 지원하고 있다. 구체적으로, 사용자 접점인 단말에서는 안랩 V3, ESA, EDR이 단말의 실시간 위협을 분석하며, 올해 상반기 출시한 안랩 XTG를 통해 제로트러스트 정책을 지원한다. 더불어 안랩 XDR, 클라우드 보안, 네트워크 보안 등 다양한 영역에서 제공되는 제품과 서비스들을 구성해 N²SF가 제시하는 정책을 지원하고 있다.
AI스페라는 공격표면관리(ASM) 기술을 기반으로 ‘외부경계·자산 보호’ 영역에서 차별화를 꾀하고 있다. N²SF가 강조하는 외부경계 보안은 인터넷에 노출된 자산을 빠르게 파악하고 취약점을 점검하는 기능을 요구하는데, ASM 솔루션이 바로 이 역할을 수행한다.
강병탁 AI스페라 대표는 “N²SF 가이드 초안은 기존의 망분리나 제로트러스트 중심 보안에서 벗어나, 외부경계 대응 항목이 다수 반영돼 공격자 관점에서 외부 노출 자산을 선제적으로 식별·관리하는 체계의 전환이 기대된다”며 “이러한 변화는 내부 통제만으로는 대응에 한계가 있어, ASM 기반의 외부 자산 지속 식별 및 위험도 기반 대응 전략이 필수적으로 요구된다”고 설명했다. 이어 “특히 망분리 완화로 생기는 노출 자산을 빠르게 파악하고, 취약점·설정 오류를 자동 점검하며, 위험도에 따라 대응 우선순위를 정하는 전략적 접근이 필요하다”고 덧붙였다.
이외에도 SK쉴더스, 모니터랩, 이스트시큐리티 등 다수 기업들이 과기정통부·KISA 주관 제로트러스트 및 통합보안 시범사업 경험을 토대로, N²SF 전환에 필요한 기술과 레퍼런스를 확보하며 대응에 나서고 있는 상황이다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
