국정원이 알려준 N2SF 쉽게 이해하는 법
국가정보원(이하 국정원)이 최근 ‘국가망보안체계(N2SF) 이해 및 활용 안내’ 자료를 내놨다. 국정원은 N2SF를 기존의 망분리를 개선한 보안체계로 설명하면서, 업무정보를 기밀(C)·민감(S)·공개(O)로 나누고 등급별로 다른 보안통제를 적용하는 구조가 핵심이라고 안내했다. 이 자료는 N2SF를 실무자가 바로 이해할 수 있도록 생성형 AI를 활용한 그림과 도표 중심으로 풀어낸 것이 특징이다.
N2SF의 핵심 원리, ‘집 구조’로 이해하기
이 자료에서 국정원은 기존의 ‘망분리’를 ‘집 두 채’ 구조로 설명한다. 한 채는 업무용 집이고, 다른 한 채는 인터넷용 집이다. 업무는 업무용 집에서 하고, 인터넷을 쓰려면 인터넷용 집으로 옮겨가야 한다. 두 공간이 떨어져 있어 사용자는 필요할 때마다 양 쪽을 오가야 한다. 그만큼 업무 흐름이 끊기고 활용성도 떨어진다.
반면, N2SF는 집을 두 채 두는 대신 ‘집 한 채에 세 개의 방을 두는 구조’다. 세 개의 방은 ‘기밀(C)’, ‘민감(S)’, ‘공개(O)’으로 나눠져 있다. 한 집 안에 있고, 각 방의 문에는 각각 서로 다른 수준의 잠금 장치가 설치돼 있다고 볼 수 있다.
세 방의 차이는 각 방에 있는 ‘정보의 중요도’에 있다. 첫 번째는 ‘기밀(C) 등급’의 방이다. 비밀, 안보, 국방, 통일, 외교, 범죄, 재판 정보처럼 외부에 노출되면 국가나 공공의 안전, 수사·재판에 직접 영향을 줄 수 있는 정보가 들어 있다. 집으로 치면 ‘금고’에 해당된다. 가보와 집문서, 열쇠, 현금 등을 보관하는 곳이다. 엄격한 출입 통제가 걸려있다.
두 번째는 ‘민감(S) 등급’의 방이다. 감사, 감독, 시험, 입찰, 인사, 개인정보처럼 공개되면 업무 공정성이나 개인 권익을 해칠 수 있는 정보가 여기에 해당한다. 집으로 치면 ‘개인 서재’에 해당한다. 서재에는 중요한 업무 서류와 개인정보가 들어있다. 기밀처럼 가장 강한 통제가 필요한 공간은 아니지만, 아무나 드나들 수는 없는 정보라 접근이 제한된다.
세 번째는 ‘공개(O) 등급’의 방이다. 공개가 가능한 일반 정보가 여기에 들어간다. 외부와 공유하거나 활용할 수 있는 정보들이 있다. 집으로 치면 손님을 맞이하는 ‘거실’이다. 국정원은 이를 ‘사랑방’으로 비유했다. 누구나 방에 접근해 정보를 볼 수 있다.
N2SF 적용 단계
♦준비 단계=이 N2SF 적용하기 위해서는 단계별 접근이 필요하다. 첫 단계는 ‘준비(자산 식별)’이다. 업무정보와 정보서비스 현황을 식별·분석해 적용 계획을 세우고, 정부기능분류체계(BRM)의 1~5레벨 수준까지 업무정보를 전부 식별해야 한다. 업무정보뿐 아니라 정보를 처리하는 정보시스템과 서비스의 현황도 함께 파악해야 한다.
업무정보 식별은 부서 단위가 아니라 ‘실제 업무 단위’로 이뤄진다. 예를 들면, ‘1레벨/정책분야(환경)-2레벨/정책영역(상하수도 수질)-3레벨/대기능(4대강 유역관리)-4레벨/중기능(화학물질 관리)-5레벨/소기능(제조 수입 화학물질 사후 관리)’처럼 큰 범주에서 시작해 작은 범주까지 내려간다. 이렇게 1레벨부터 5레벨까지 적용해야 광범위한 업무정보를 촘촘하게 분류할 수 있다.
♦C·S·O 등급 분류=N2SF 적용 두 번째 단계는 ‘C·S·O 등급분류’다. 앞서 준비 단계에서 식별한 업무정보와 정보시스템을 중요도에 따라 기밀(C), 민감(S), 공개(O)로 나누는 과정이다. 먼저 업무정보의 등급을 정한 뒤, 그 정보를 처리하는 정보시스템도 같은 기준으로 분류한다.
이때 기준은 기관이 임의로 정하는 것이 아니라, 정보공개법과 공공데이터법 등 관계 법령을 근거로 각 기관이 자체적으로 분류한다. 국정원은 이를 통해 비공개 대상 정보의 분류 근거를 명확히 하고, 제도적 정합성도 확보할 수 있다고 설명한다.
식별된 업무정보는 분류 기준을 거쳐 세 갈래로 나뉜다. 첫째는 ‘기밀(C)’ 정보다. 비밀, 안보, 국방, 통일, 외교, 범죄, 재판 정보처럼 외부에 드러나면 국가 안전이나 공공 질서에 직접 영향을 줄 수 있는 정보가 여기에 해당한다. 둘째는 ‘민감(S)’ 정보다. 감사, 감독, 시험, 입찰, 인사, 개인정보처럼 공개될 경우 업무 공정성이나 개인 권익을 해칠 수 있는 정보다. 마지막은 ‘공개(O)’ 정보다. 공개 가능한 일반 정보나, 별도 조치를 거쳐 외부 활용이 가능한 정보가 이 범주에 들어간다.
♦위협 식별 단계=C·S·O 등급 분류가 끝나면, 그다음은 ‘위협 식별’이다. 앞 단계에서 등급을 나눈 정보와 시스템이 실제 업무 흐름 안에서 어떻게 연결되는지 살펴보고, 어떤 지점에서 위험이 생길 수 있는지 찾는 과정이다. 국정원은 이 단계를 “어디를 보호해야 하는가”를 찾는 과정이라고 설명했다.
예를 들어보자. 기관 전산망에는 기밀(C) 등급의 업무시스템과 민감(S) 등급의 업무 단말이 있다. 외부의 인터넷망에는 공개(O) 등급 생성형 AI 서비스가 있다. 이 상태에서 기밀(C) 등급 업무시스템의 정보가 민감(S) 등급 단말로 가거나, 민감(S) 등급 단말의 정보가 공개(O) 등급 서비스로 넘어가려 하면 경고 표시가 뜬다. 쉽게 말해, 더 높은 등급의 정보가 더 낮은 등급 구간으로 이동하려는 지점이 바로 위협을 식별해야 할 지점이라는 것이다.
준비 단계에서 자산과 데이터를 찾고, 등급분류 단계에서 중요도를 나눴다면, 위협 식별 단계에서는 그 정보가 실제로 어디서 생성되고, 어디에 저장되며, 어디로 이동하는지를 따져보게 된다. 이 단계에서는 어느 구간에 보안 대책이 필요한지를 찾아낸다.
♦보안대책 수립 단계=위협 지점을 찾았다면, 다음은 그 구간에 어떤 보안통제를 적용할 지를 정해야 한다. ‘보안대책 수립 단계’다. 앞 단계에서 식별한 위험을 기준으로 필요한 보안통제 항목을 고르고, 등급별 우선 검토사항을 참고해 정보서비스 환경에 맞게 적용하는 과정이다.
먼저 식별된 보안 위협을 바탕으로 보안 요구사항을 정한다. 요구사항 예시로는 암호화, 접근 제어, 무결성 검증, 감사 기록 같은 수많은 항목이 있다. 그런 다음 이 요구사항을 충족할 수 있는 통제 항목을 고른다. 국정원은 이를 ‘기술적 보안통제’와 ‘관리적 보안통제’로 나눠 설명한다. 시스템에 어떤 보안 기능을 붙일지와, 누가 어떤 절차로 운영할 지를 함께 정한다. 현재 보안통제 항목은 N2SF 가이드라인 1.0 기준으로, 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 6개 대항목 아래 세부 항목 260여개로 구성된다.
보안통제 우선 검토사항에서는 각 등급에 맞춰 어떤 보안통제를 먼저 적용할지를 제시한다. 위 표를 살펴보면, N2SF ID는 개별 보안통제 항목에 붙인 고유 번호다. 예를 들어, N2SF-LP-1의 LP는 ‘최소 권한’이라는 중항목을 뜻하고, 뒤 숫자는 세부 통제 순번을 뜻한다. 오른쪽 끝에 잇는 C·S·O 부분은 해당 통제를 어느 등급에서 우선 검토해야 하는지를 보여준다. 기관은 앞 단계에서 분류한 기밀(C), 민감(S), 공개(O) 데이터 등급에 따라 해당되는 N2SF ID 통제 항목을 적용하면 된다.
‘권한’이라는 대항목 아래에는 N2SF-LP-1 정보시스템 접근 권한 정의, N2SF-LP-2 보안통제 권한 제한, N2SF-LP-3 보안통제 계정 노출 방지 같은 소항목이 포함된다. 이 가운데 LP-1은 기밀(C)과 민감(S) 등급에 체크가 되어 있다. 기밀·민감 정보를 다루는 시스템이라면 누가 어디까지 접근할 수 있는지부터 먼저 정하라는 것이다. 반면 LP-2와 LP-3는 공개(O) 등급까지 포함해 체크되어 있다. 공개(O) 정보 시스템이라도 보안 설정을 바꾸는 권한은 제한해야 하고, 보안통제용 계정이 드러나지 않도록 관리해야 한다는 의미다.
♦적절성 평가·조정 단계=보안대책 수립이 끝나면, 마지막은 ‘적절성 평가·조정 단계’다. 앞선 네 단계에서 한 일이 제대로 됐는지 다시 확인하고, 부족한 부분을 보완해 최종 확정해야 한다. 국정원은 준비, 등급분류, 위협 식별, 보안대책 수립 전 과정의 적절성을 평가하고, 필요하면 조정·보완한 뒤 확정하라고 설명한다.
이렇게 1단계부터 4단계까지 순서대로 확인해 적절성 평가·조정을 진행한다. N2SF 적용 과정 전체를 다시 점검하는 것이다. 처음에 한 번 분류하고 설계했다고 끝나는 것이 아니라, 실제로 그 구조가 맞게 짜였는지 다시 확인해야 한다. 업무정보를 빠짐없이 분류했는지, 정보시스템 등급을 가장 높은 정보 기준으로 잡았는지, 한 시스템 안에 가능하면 같은 등급 정보만 들어가도록 구성했는지 등을 다시 따져본다.
N2SF, 적용하면 뭐가 달라지나?
국정원은 N2SF 적용의 효과로, 업무망에서 외부 생성형 인공지능(AI)을 활용할 수 있는 구조를 예시로 제시했다. 핵심은 직접 연결이 아니라 연계체계를 거치는 구조다. 사용자가 입력한 프롬프트는 중간 구간에서 검사·필터링·기록을 거친 뒤 안전한 질의만 외부 AI로 전달된다. 답변 역시 같은 경로를 통해 돌아와 업무에 활용된다. 외부 AI를 쓰더라도 민감한 정보가 통제 없이 밖으로 나가지 않도록 중간 단계에서 걸러내는 구조다.
국정원은 인터넷과 외부 클라우드 이용 사례도 함께 제시했다. 다만 민감(S) 등급의 업무용 컴퓨터 전체를 외부와 직접 연결하는 방식은 아니다. 아래 그림을 보면 한 화면 안에서도 왼쪽 노란 구간은 민감한 업무정보를 다루는 영역이고, 오른쪽 초록 구간은 공개(O) 등급 영역으로 나뉜다. 외부 클라우드나 인터넷과 연결되는 건 이 공개 구간이다. 다시 말해, 민감한 업무를 처리하는 핵심 영역은 그대로 보호하고, 외부 서비스 이용이 필요한 부분만 따로 분리해 쓰는 구조다.
국정원은 이를 원격 브라우저 격리(RBI) 기술 기반의 안전 접속 예시로 설명했다. 외부 서비스와 원본 데이터를 직접 주고받기보다, 외부 화면을 픽셀화한 안전한 이미지 형태로 받아보는 방식이다. 쉽게 말하면, 한 컴퓨터 안에 ‘업무 공간’과 ‘인터넷 접속 공간’을 나눠 놓고, 바깥과 연결이 필요한 부분만 제한적으로 여는 셈이다. 민감한 정보가 있는 영역을 통째로 외부에 노출하지 않으면서도, 필요한 인터넷 검색이나 외부 클라우드 활용은 가능하게 하는 방식으로 볼 수 있다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
