김승주 교수 “공공 클라우드 보안 검증 개편, 이중규제 여전…거버넌스 손봐야”
|

김승주 교수 “공공 클라우드 보안 검증 개편, 이중규제 여전…거버넌스 손봐야”

By곽중희

국가정보원(이하 국정원)과 과학기술정보통신부(이하 과기정통부)가 공공 클라우드 보안검증 절차를 국정원 단일 체계로 개편하겠다고 발표한 가운데, 이번 제도 개편이 기업의 이중 인증 부담을 근본적으로 해소하려면 검증 절차의 투명성과 보안 거버넌스 개편 논의가 뒤따라야 한다는 지적이 나왔다.

KISA, N2SF 실증 사례집 공개…공공기관 도입 모델 6종 제시
|

KISA, N2SF 실증 사례집 공개…공공기관 도입 모델 6종 제시

By곽중희

한국인터넷진흥원(KISA)이 공공기관의 업무시스템에 ‘국가망보안체계(N2SF)’를 적용한 실증 사례집을 13일 공개했다. 이번 사례집에서 KISA는 N2SF의 개념과 방법론을 설명하는 데 그치지 않고, 정보 서비스 모델별로 실제 공공 업무 시스템에 어떻게 N2SF를 적용하는 지를 제시했다. 구체적으로는 ▲인터넷 단말의 업무 활용성 제고 ▲업무 환경에서 생성형 인공지능(AI) 활용 ▲외부 클라우드 활용 업무 협업 체계 ▲업무 단말의 인터넷 이용 ▲공공 데이터의 외부 AI 융합 ▲클라우드 기반 통합문서체계 등 6개 모델을 중심으로 실증 결과를 소개했다.

국정원이 알려준 N2SF 쉽게 이해하는 법

국정원이 알려준 N2SF 쉽게 이해하는 법

By곽중희

국가정보원(이하 국정원)이 최근 ‘국가망보안체계(N2SF) 이해 및 활용 안내’ 자료를 배포했다. 국정원은 N2SF를 기존 망분리를 개선한 보안체계로 설명하면서, 업무정보를 기밀(C)·민감(S)·공개(O)로 나누고 등급별로 다른 보안통제를 적용하는 구조라고 안내했다. 이 자료는 N2SF를 실무자가 바로 이해할 수 있도록 생성형 AI를 활용한 그림과 도표 중심으로 풀어낸 것이 특징이다.

공공도 AI 쓰도록…KISA “N2SF, 실제 적용 단계로”

공공도 AI 쓰도록…KISA “N2SF, 실제 적용 단계로”

By곽중희

공공기관의 생성형 인공지능(AI)과 클라우드 도입 논의가 커지는 가운데, ‘국가망보안체계(N2SF)’가 가이드라인 단계를 넘어 실제 적용 단계로 들어서고 있다. 한국인터넷진흥원(KISA)은 지난해 N2SF 실증으로 적용 사례와 산출물을 확보했고, 올해는 검증된 모델의 공공기관 도입 지원 사업을 추진한다고 15일 밝혔다.

[그게 뭔가요] 암호계의 K-브랜드, 한국형 양자내성암호(KpqC)

[그게 뭔가요] 암호계의 K-브랜드, 한국형 양자내성암호(KpqC)

By곽중희

국내에서는 ‘KpqC(Korean Post-Quantum Cryptography, 한국형 양자내성암호)’라는 이름의 양자내성암호 전환 정책이 본격적으로 추진되고 있다. 2021년 국가 공모전과 검증 과정을 거쳐 최종적으로 4개의 KPQC 알고리즘이 선정됐고, 현재는 표준화·적용과 알고리즘 업그레이드 연구 등이 활발히 이어지고 있다.

화이트해커가 상시 점검…국가AI전략위, ‘보안 취약점 신고·조치·공개’ 법제화 추진

화이트해커가 상시 점검…국가AI전략위, ‘보안 취약점 신고·조치·공개’ 법제화 추진

By곽중희

대통령 직속 국가인공지능(AI)전략위원회는 25일 열린 제2차 전체회의에서 화이트해커가 기업·기관의 보안 취약점을 상시적으로 찾아 신고하고, 피신고 기관이 조치한 뒤 공개하는 ‘보안 취약점 신고·조치·공개 제도’ 도입 로드맵을 심의·의결했다고 밝혔다.

국가망보안체계(N²SF), 실제 ‘운영 가능한 체계’ 되려면
|

국가망보안체계(N²SF), 실제 ‘운영 가능한 체계’ 되려면

By곽중희

국가정보원이 국가망보안체계(N²SF)를 본격 시행하면서 공공 보안은 ‘망분리’ 중심 접근에서 데이터 등급과 위험을 기준으로 통제를 설계·운영하는 체계로 전환하는 출발선을 찍었다. 제도 도입으로 방향은 잡혔지만, 현장에 뿌리내리려면 운영 관점의 보완이 필요하다는 목소리도 나온다. N²SF 실증에 참여한 기업들은 전환 과정에서 겪은 경험 등을 토대로 N²SF가 ‘운영 가능한 체계’가 되기 위해서는 교육, 표준, 운영 지원, 검증 체계 등에 대한 제시와 보완이 필요하다고 지적했다. 

엔키화이트햇 “통제 항목 매핑만으론 한계, 계속 점검해야”
| |

엔키화이트햇 “통제 항목 매핑만으론 한계, 계속 점검해야”

By곽중희

엔키화이트햇은 지난해 N²SF 시범 실증 3개 과제에 모두 참여해, 컨설팅·구축 결과물이 실제 공격 상황에서도 보안 통제를 유지하는지 침투테스트(모의해킹)로 검증했다. 단순 기능 확인이나 취약점 나열이 아니라 공격자 관점에서 C·S 등급 데이터 탈취 가능성과 신규 보안 제품의 통제 무력화 여부를 점검하는 데 초점을 뒀으며, 기관별 진단 기간이 제한된 만큼 체계 전체 시나리오보다는 실증 대상 주요 솔루션의 ‘공격 상황 내 통제 유지’에 집중했다고 밝혔다.

프라이빗테크놀로지 “현실에 맞는 단계적 적용 필요”
| |

프라이빗테크놀로지 “현실에 맞는 단계적 적용 필요”

By곽중희

국가정보원이 추진한 N²SF 실증에서 프라이빗테크놀로지는 ‘DPG 통합플랫폼’ 과제를 주관하며 기관 간 데이터 연계 환경에 N²SF 절차(식별·C/S/O 분류·위협·통제·평가)를 적용했다. 박승민 프라이빗테크놀로지 부장은 N²SF를 망분리 해제로 단순화하기보다, 데이터 이동을 어떤 조건으로 허용·차단할지 설계하는 일이 핵심이라고 설명했다. 그는 통제 항목을 전부 구현하려 하면 예산·연동·운영 부담이 커진다며 ‘수용 기준선’을 세우고 서비스 단위로 단계적 전환을 추진해야 한다고 강조했다.

SGA솔루션즈 “ N²SF 적용, 뼈대인 컨설팅 단계가 핵심”
| |

SGA솔루션즈 “ N²SF 적용, 뼈대인 컨설팅 단계가 핵심”

By곽중희

작년 N²SF 실증을 진행한 SGA솔루션즈는 “지난 실증은 N²SF의 기술적 구현 여부를 넘어, 공공기관이 N²SF를 실제로 운영할 준비가 되어 있는지를 확인하는 과정이었다”고 말했다. SGA솔루션즈는 특히 컨설팅 단계의 중요성을 강조했다. “컨설팅 단계에서 정보 등급 분류, 위협 식별, 통제 항목 설정이 이뤄진다”며 “이 단계가 제대로 돼야 이후 구축과 운영이 의미를 가진다”는 것이다. 통제를 많이 구현하는 것보다 어떤 통제를 왜, 어디에, 어떤 순서로 적용할지”를 먼저 정리해야 하고, 이 결정이 빠지면 구축 과정에서 조정이 반복되면서 운영까지 흔들린다는 진단이다.

CSAP 손질 논의에 국내 클라우드 업계 우려 커져

CSAP 손질 논의에 국내 클라우드 업계 우려 커져

By곽중희

정부가 ‘클라우드 서비스 보안인증(CSAP)’ 체계 전환을 두고 관계부처 간 논의를 진행 중인 가운데, 아직 제도의 개편 방향은 확정되지 않은 것으로 확인됐다. 한국인터넷진흥원(KISA) 관계자는 “업계에서 언급된 CSAP 개편 방향에 대해서는 아직 결정된 바가 없다”며 “과기정통부와 국정원 등 관계 부처에서 논의하고 있지만, 구체적인 개편 내용은 아직 합의 중”이라고 설명했다.

End of content

End of content