바이라인네트워크와 만난 김광훈 SGA솔루션즈 보안기술컨설팅 총괄 전무이사는 “지난해 진행한 실증은 N²SF의 기술적 구현 여부를 넘어, 공공기관이 N²SF를 실제로 운영할 준비가 되어 있는지를 확인하는 과정이었다”고 말했다.
N²SF 실증은 크게 컨설팅, 구축, 점검의 3단계로 구성된다. 컨설팅 단계에서는 N²SF를 적용할 시스템의 범위를 정하고, 그 범위 안에서 정보 자산을 식별한 뒤 C·S·O 등급으로 분류한다. 이어 각 자산의 위협을 식별하고, 이를 완화하기 위한 통제 항목과 구현 방안을 도출한다. 구축 단계에서는 컨설팅 결과로 나온 통제 항목을 실제 환경에 구현하고, 기관별 기존 시스템과 보안 솔루션을 연동·조정한다. 점검 단계에선 구축 결과가 의도한 보안 수준을 충족하는지 확인한다. 통제 항목이 제대로 작동하는지 점검하고, 필요하면 취약점 점검이나 모의해킹 같은 방식으로 검증한다.
김 전무가 특히 강조한 건 이 가운데 ‘컨설팅 단계’였다. 그는 “컨설팅 단계에서 정보 등급 분류, 위협 식별, 통제 항목 설정이 이뤄진다”며 “이 단계가 제대로 돼야 이후 구축과 운영이 의미를 가진다”고 말했다. ‘통제를 많이 구현하는 것’이 성과처럼 보일 수 있지만, 실증을 해보니 실제로는 “어떤 통제를 왜, 어디에, 어떤 순서로 적용할지”가 정리되지 않으면 구축 단계에서 조정이 반복되고 운영 자체가 흔들린다는 것이다.
실증은 약 3개월간 진행됐다. 김 전무는 “비교적 짧은 기간에 적용 대상 기관이 동시에 실증을 진행하다 보니 시간적 제약이 있었다”며 “N²SF 통제 항목 구현은 해냈지만, 기관별 환경과 목표가 모두 달라 여러 번 조정이 필요했다”고 말했다. 구현 그 자체보다, 기관마다 다르게 돌아가는 업무 현실을 어떻게 ‘운영 가능한 형태’로 맞춰갈지가 더 큰 과제로 떠올랐다는 얘기다.
“단품으로는 안 된다”…PDP·PEP 중심 ‘풀스택’으로 골격 세워야
김 전무는 N²SF 구현 과정에서 ‘풀스택’ 접근을 강조했다. 그는 “많은 업체들이 단품 보안 솔루션을 내놓고 있지만, 솔루션 하나만으로는 N²SF를 완성하는데 한계가 있다”고 설명했다. SGA솔루션즈가 말하는 풀스택은 정책결정지점(PDP)과 정책실행지점(PEP) 같은 핵심 요소를 중심으로 보안 체계의 기본 골격을 세운 뒤, 기관별 환경에 맞게 다른 보안 솔루션을 연동해 하나의 체계로 작동하도록 만드는 방식이다. 김 전무는 “산재된 보안 솔루션을 그대로 나열하는 것이 아니라, 이를 재조합해 하나의 몸체처럼 유기적으로 움직이게 만드는 것이 중요하다”고 말했다.
그는 풀스택 설계와 함께 제로 트러스트도 언급했다. N²SF를 ‘통제 항목의 집합으로 구성된 프레임워크’로 보면. 제로트러스트는 그 통제 항목을 실제로 어떻게 구현하고 집행할 것인지 풀스택 차원에서 구현할 수 있는 ‘방법론’이라는 것이다. 김 전무는 “N²SF에서 요구하는 다양한 통제 항목을 어떤 방식으로 충족할지는 기관별로 달라질 수 있다”며 “제로 트러스트는 그중에서도 가장 높은 수준의 통제 방법론으로 볼 수 있다”고 설명했다.
그의 설명을 정리하면, N²SF는 “해야 할 통제의 지도”에 가깝고, 제로 트러스트는 “그 지도를 실제 시스템에 구현하는 방식”이다. 풀스택은 그 위에서 PDP·PEP를 중심축으로 세우고, 이기종 솔루션들을 분절되지 않게 엮어 한 흐름으로 작동시키는 역할을 맡는다. 결국 기관별로 기존에 가지고 있던 솔루션이 다르고 업무도 다른 만큼, ‘재조합’과 ‘연동’이 핵심 작업이 될 수밖에 없다.
데이터 등급 분류, “업무 자체를 다시 보는 일”
N²SF의 핵심 요소 중 하나는 데이터를 C(기밀)·S(민감)·O(공개) 등급으로 구분하고, 등급별로 접근과 활용을 통제하는 체계다. 실증 과정에서 SGA솔루션즈는 기관 전체를 대상으로 등급 분류를 진행하지는 않았다. 대신 각 기관에서 N²SF를 적용하고자 한 범위로 한정해 데이터 등급 분류를 수행했다. 실증 과제의 시간·범위 조건상, 적용 범위 안에서부터 등급 분류를 진행했다.
김 전무는 “국정원이 제시한 N²SF 가이드라인 1.0을 기준으로, 국정원이 제시한 공공 업무 분류 체계를 참고해 업무 단위별로 먼저 정보를 구분했다”며 “어떤 목적의 시스템인지, 그 안에서 어떤 정보가 생성되고 취급되는지를 기준으로 분류했다”고 설명했다. 이후 정보의 생성·이용·이동·저장·폐기 등 생애주기를 기준으로 위협을 식별하고 통제 항목을 설정했다.
문제는 그 다음 단계였다. 그는 “각 등급의 정보를 어떻게 취득하고, 어디로 이동시키며, 어디에 저장할 것인지에 대한 준비가 부족한 상태였다”며 “솔루션을 도입하면 자동으로 데이터 분류가 이뤄질 것이라고 보는 경우도 있었다”고 말했다. 등급 분류가 ‘기술 기능’으로만 이해될 때 생기는 오해다. 분류는 어디까지나 출발점이고, 등급별로 정보가 어디를 거쳐 흘러가고 어떻게 보관·폐기되는지까지 설계가 따라붙지 않으면, 위험 기반 통제는 운영 단계에서 마찰이 생길 수 있다.
SGA솔루션즈가 말한 “컨설팅 단계가 중요하다”는 말도 이 지점과 맞물린다. ‘정보를 어떻게 볼 것인지(업무·자산·흐름 정의)’가 정리되지 않으면, N²SF 구축은 도입으로 끝나고 운영은 시작하기도 전에 흔들릴 수 있다.
현장이 원한 건 “맞춤형 + AI·외부 서비스”
김 전무가 실증 과정에서 또 하나 느낀 점은 통제 항목을 충족하는 것과 실제 운영 사이의 간극이었다. 그는 “기관들은 가이드라인에 맞게 N²SF를 그대로 적용하기보다는, 각 기관의 환경과 업무 방식에 맞게 최적화되기를 원했다”고 말했다. 이 과정에서 추가 개발과 조정이 지속적으로 필요했다.
그는 “처음 시작 단계라 모두가 운영 경험이 충분하지 않은 상태에서 실증을 하다 보니, 기관 내부에 N²SF를 적용한 뒤 어떻게 운영할 것인지에 대한 그림이 충분히 공유되지 않았다”며 “통제 항목 충족 자체는 이뤄졌지만, 실제 운영을 위한 준비는 상대적으로 부족해 보였다”고 설명했다. 여기서 말하는 운영은 정보의 생애주기 관리와 함께, 등급과 접근을 판단·집행하는 정책과 조직 운영 전반을 뜻한다.
망분리와 가장 크게 달라진 지점은 ‘업무의 유연성’이었다. 김 전무는 “기존 망분리 환경에서는 업무용 PC에서 외부 서비스나 생성형 AI를 활용하는 것이 거의 불가능했다”며 “N²SF를 적용하면서 정보 등급과 접근 통제를 전제로, 업무용 PC 환경에서 외부의 서비스형 소프트웨어(SaaS)와 인공지능(AI)를 활용할 수 있는 구조가 열렸다”고 말했다. 이어 “실증 과정에서 가장 많이 나온 요구가 ‘AI를 쓰게 해달라’, ‘외부 서비스를 안전하게 활용할 수 있게 해달라’는 요구였다”며 “보안을 유지하면서도 업무 효율과 자율성을 높일 수 있다는 점에서 현장 반응은 긍정적이었다”고 전했다.
SGA솔루션즈는 이번 실증 과정에서 도출한 요구사항을 토대로, 제안 요청에 포함되지 않았던 기능까지 제품에 반영하며 기술 고도화를 진행하고 있다. 김 전무는 “실제 운영에 필요하다고 판단한 요구들을 추가로 반영하기 위해 노력하고 있다”며 “또 N²SF가 현장에 정착하려면 기술뿐 아니라 제도와 운영 문화가 함께 바뀌어야 하는데, 논의해서 개선해갈 예정”이라고 강조했다.
글. 바이라인네트워크
