검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'국정원'통합검색 결과 입니다. (25건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

국정원, 北해킹 확산 경고···"국가 주요기관-기업 기밀 절취"

차세대 HBM용 북한 해킹조직이 고도화한 해킹 수법을 사용해 주요 국가기관과 첨단기업의 기밀자료와 핵심기술을 절취하고 있는 것으로 드러났다. 4일 국정원은 이 사실을 포착하고 관련 업계에 주의를 당부했다. 북한 해킹조직은 소프트웨어(SW) 공급망 공격과 관련해 ▲IT용역업체 해킹을 통한 기관과 기업 우회 침투 ▲IT솔루션과 SW 취약점을 악용한 침투 ▲보안관리 허점을 노린 해킹 등 3가지 공격유형을 활용해 자료 탈취에 주력하고 있다고 국정원은 밝혔다. 아래는 국정원이 전한 북한 해커의 공격 양상 IT용역업체 해킹 후 기관·기업 전산망 우회 침투 고객사 접속 권한이 있는 IT 용역업체의 보안이 취약하면 국가기관과 기업의 보안체계가 잘 갖춰져 있더라도 피해에 고스란히 노출될 수 밖에 없다. 실제 북한 해킹조직은 작년 10월 지자체 전산망 유지관리 업체인 A사 직원 이메일을 해킹해 메일내 보관중이던 서버 접속계정을 탈취한 후 지자체 전산망 원격관리 서버에 무단 접속, 행정자료 절취를 시도하기도 했다. 피해 예방을 위해 IT용역업체 직원들에 대한 보안교육은 물론 외부 접속경로 차단 및 인증수단 강화 등 보안수준을 더 높여야 한다고 국정원은 지적했다. IT솔루션·SW 취약점 악용 침투 내부자료 통합 관리·유통을 위해 사용하는 IT솔루션을 대상으로한 단 한번의 공격이 대량의 내부 정보 유출로 이어지기도 한다. 북한 해킹조직은 이번달 방산협력업체 D사의 전자결재·의사소통용 '그룹웨어'의 보안상 허점을 악용해 악성코드를 설치, 직원 이메일 및 네트워크 구성도 등 내부자료 절취를 시도했다. 이 같은 시도를 사전에 차단하기 위해서는 ▲SW 보안패치 ▲인터넷을 통한 관리자계정 접속 금지 ▲주기적인 취약점 점검 등의 대책이 필요하다고 국정원은 조언했다. 기관·기업의 보안관리 허점을 노린 해킹 '유추하기 쉬운 초기 패스워드 사용''부주의에 의한 해킹메일 열람' 등 기관·기업의 부실한 보안관리는 해킹으로 직결된다. 북한 해킹조직은 올 2월 모바일 신분 확인업체 E사의 관리자 페이지를 인터넷을 통해 쉽게 접속할 수 있는 점을 노려, 보안검색엔진 등을 활용해 해당 취약점을 면밀 분석해 관리자 권한으로 무단 접속했다. 이를 방지하려면 내부 보안관리 강화를 위해 기본 보안수칙을 체크리스트로 만들어 크로스체크함으로써 문제점을 개선하고, 보안교육을 통해 직원들의 보안의식을 제고해야 한다. 북한 해킹조직 등 사이버위협세력의 해킹 피해 차단을 위한 자세한 위협정보와 보안권고문은 국가사이버안보센터 홈페이지나 KCTI(사이버위협정보공유시스템) 등을 통해 확인할 수 있다. 윤오준 국정원 3차장은 “SW 공급망 공격은 광범위한 피해로 이어질 수 있어 IT 공급자와 사용자 모두 경각심을 가져야 한다”며 “정부 차원에서도 작년 9월 가동한 정부합동 공급망 보안 TF를 통해 2027년까지 'SW공급망 보안체계'를 제도화하는 등 공급망 보안 선진화를 위해 노력할 것”이라고 밝혔다.

2025.03.04 17:10방은주 기자

국정원 "딥시크, 중국 서버 저장…김치·동북공정 대답도 문제"

국가정보원(NIS)이 생성형 AI 서비스 '딥시크'의 보안 문제를 확인하고 정부 기관의 사용에 주의를 당부했다. 국정원은 딥시크에 대한 기술 검증을 실시한 결과 ▲과도한 개인정보 수집 ▲입력 데이터의 학습 데이터 활용 ▲광고주와의 무제한 정보 공유 ▲국외 서버 저장 등의 문제점을 확인했다고 9일 밝혔다. 특히 '딥시크'는 입력된 모든 데이터를 학습용으로 사용하며 민감한 정보까지 중국 내 서버에 저장되는 것으로 나타났다. 국정원 조사에 따르면 딥시크는 일반적인 생성형 AI와 달리 키보드 입력 패턴 등 개인을 식별할 수 있는 데이터를 수집하며 중국 업체 서버와 직접 통신하는 기능이 포함돼 있다. 이로 인해 사용자 채팅 기록이 외부로 유출될 가능성이 제기됐다. 또 사용자가 입력한 모든 데이터가 학습 데이터로 자동 활용되는 문제도 확인됐다. 개인정보 보호를 위한 별도의 차단 기능 없이 모든 입력을 AI 모델 훈련에 반영하는 것으로 분석됐기 때문이다. 이는 기밀 자료나 민감한 정보를 다루는 기관에서는 보안 위협이 될 수 있다. 정보 공유 문제도 지적됐다. 딥시크는 이용자의 서비스 사용 정보를 광고주와 제한 없이 공유하며 보유 기간도 명확히 명시하지 않았다. 이로 인해 사용자의 개인 정보가 광고주 등 외부 기업에 무제한으로 제공될 가능성이 높다. 특히 딥시크 약관에 따르면 수집된 데이터는 중국 내 서버에 저장되며 중국 정부의 요청이 있을 경우 제공될 수 있도록 규정돼 있다. 이는 국가 안보와 관련된 정보가 외국으로 유출될 위험을 내포하고 있어 공공기관 및 기업의 AI 활용 시 신중한 접근이 필요하다는 지적이 나온다. 아울러 국정원은 딥시크가 민감한 역사·문화 관련 질문에 대해 언어별로 다른 답변을 내놓는 점도 확인했다. 일례로 동북공정, 김치, 단오절과 같은 주제에서 한국어와 중국어로 제공되는 답변이 상이해 특정 역사적·문화적 서술이 왜곡될 가능성이 있다. 국정원 관계자는 "보안 우려를 반영해 정부 부처에 '딥시크' 등의 생성형 AI를 업무에 활용할 경우 각별한 주의를 기울일 것을 강조하는 공문을 배포했다"며 "앞으로도 관련 기관과 협력해 기술 안전성을 면밀히 점검하고 필요할 경우 추가적인 조치를 취할 방침"이라고 밝혔다.

2025.02.09 15:16조이환 기자

'세계 3대 해커'라 불렸던 그들, 지금 뭐하고 있나

10여년 전, 한국에 세계 3대 해커라 불린 이들이 있었다. 모두 1980년대생으로, 해킹방어대회를 역대 가장 어린 나이에 우승하거나 연속 우승하면서 천재급으로 주목받았다. 이들은 지금 무엇을 하고 있을까. 근황을 살펴보니 여전히 정보보호 전문가로 선한 영향력을 끼치는가 하면 누군가는 기억에서 잊힌 사람도 있었다. 정보보호 전문 기업 스틸리언 설립자인 박찬암 대표도 3대 천재 해커 중 한 명이었다. 3인 중 가장 활발히 활동하고 있다. 지난 3일에는 서울 용산 본사에서 설립 10주년 기념식도 열었다. 박 대표는 화이트 해커답게 수사기관을 도와 나쁜 해커 잡는데도 열심이다. 2017년부터 경찰청 사이버위협정보전문가 모임과 서울동부지방검찰청 사이버범죄중점수사자문위원회 위원으로 일하고 있다. 이런 공로로 2020년 존경받는 기업인 중소벤처기업부 장관 표창과 지난해 정보보호 유공 대통령 표창을 받았다. 2018년에는 미국 경제지 포브스가 '아시아의 영향력 있는 30세 이하 30인'으로 뽑기도 했다. 화이트 해커는 착한 해커다. 서버 취약점을 연구해 해킹을 막을 법을 찾는다. 나쁜 의도로 해킹해 돈을 요구하는 블랙 해커와 반대된다. 박 대표는 10년 넘게 정보보호 기업 스틸리언을 경영하고 있다. 26세 학생이던 박 대표가 2015년 창업한 스틸리언은 지난 1일 설립 10주년을 맞았다. 5명이 시작해 10년 만에 직원 100명, 연 매출 100억원을 눈앞에 둔 회사로 성장했다. 박 대표는 아직 스틸리언을 상장할 계획이 없다. 외부 투자자 눈치 보느라 신사업을 만들어 덩치를 키우기보다 내실을 다지겠다는 입장이다. 그저 어릴 적부터 컴퓨터와 외계인을 좋아해 이 길로 들어선 사람답다. 박 대표는 1989년 부산에서 태어나 인하대 컴퓨터공학과를 졸업했다. 회사 이름은 '외계인 기술을 훔친다'는 뜻으로 훔치다(Steal)와 외계인(Alien)을 합해 '스틸리언'이라 지었다. 또 다른 3대 세계적 해커는 홍민표 에스이웍스 대표다. 2000년대 해킹대회에서 우승하며 '세계 3대 해커'로 불렸다. 홍 대표 역시 컴퓨터 게임이 재미있어 보여 컴퓨터 세계에 빠졌다. 그의 첫 번째 해킹은 중학교 2학년 때로, 외산 소프트웨어(SW) 정품 고유 번호(serial number)를 풀어냈다. 이를 불법으로 인식하지 않던 시절이라 돈 없던 학생의 수확으로 여겼다. 이후 산업기능요원으로 같이 대체복무하던 친구들과 한국과학기술원(KAIST) 주최 해킹대회에서 우승했다. 홍 대표 역시 화이트 해커가 돼 2010년 행정안전부 장관 표창 등을 받았다. 고려대 대학원에서 정보보호학 박사 과정을 밟았다. 홍 대표는 에스이웍스를 차리기 앞서 2008년 쉬프트웍스를 설립해 안드로이드 스마트폰 백신을 개발하기도 했다. 2009년 7월 디도스(DDoS·분산서비스거부) 공격 사태가 터져 온 나라가 난리났을 때, 국가정보원은 북한을 의심했지만 홍 대표가 공격자 서버가 미국에 있음을 밝혀 일약 유명해졌다. 그의 실력을 보여주는 대표적인 사례는 2000년 카이스트가 주최한 세계해킹대회에서 세계에서 온 수백 명의 해커를 이기고 우승을 차지한 것이다. 당시 상금이 2만 달러(약 2400만원)였다. 이후에도 후배 해커들을 위해 만든 '와우해커 그룹(WOWHACKER GROUP)' 회원들과 함께 해커월드컵인 데프콘(DEFCON)에 7번 참여해 5번 본선에 연속 진출, 단일팀으로 최고 기록을 세웠다. 에스이웍스 전에 두 번의 보안 관련 스타트업을 창업했고, 투자금 회수에 성공했다. 주산을 잘했던 홍 대표는 초등학교 4학년 때 어머니 손에 이끌려 컴퓨터 학원에 등록했고, 이것이 인생을 결정했다고 밝힌 바 있다. 2011년 쉬프트웍스를 매각하고, 이듬해인 2012년 현재의 에스이웍스를 세웠다. 에스이웍스는 모바일 앱을 외부인이 분석하지 못하게 막는 '앱솔리드'를 내놨다. 또 보수 경영을 펼치는 스틸리언과 달리 투자도 받았다. 일본 투자 회사 소프트뱅크가 15억원, 미국 반도체 기업 퀄컴이 5억원을 각각 투자했다. 이후 홍 대표는 미국에도 법인을 세우고 에스이웍스 본사를 샌프란시스코로 옮겼다. 3대 해커 가운데 나머지 1명은 1989년생 구사무엘이 꼽힌다. 그는 고등학교 3학년이던 2007년 정보통신부 해킹대회 본선에 진출했고, 같은 해 고교생 해킹 보안 챔피언십에서 2위를 차지했다. 2008년 건국대 경영학과에 입학했고, 메이킹이라는 팀으로 제5회 KISA 해킹방어대회에 참가해 1위를 차지했다. 이렇게 유명해지자 주요 언론에 소개됐고, 여러 기업과 공공기관에서 강연하기도 했다. 이후 소식은 들리지 않는다. 구씨가 해커가 된 계기는 고등학교 때 컴퓨터 프로그래밍에 재미를 느꼈고, 고등학생 최초로 해킹대회에 출전한 일이다. 오래 전 그는 어느 인터뷰에서 "해킹은 '불가능'을 '가능'으로 만드는 기쁨 자체"라며 "이미 알려진 해킹 기법을 사용하는 것에는 흥미가 없다. 기존 기술 답습이 아닌 새로운 유형의 기술을 끊임없이 발굴하는 해커가 되고 싶다"고 밝힌 바 있다. 대학 전공은 컴퓨터가 아닌 경영을 택했는데, 컴퓨터를 넘어 보다 넓은 시야를 갖고 싶어서였다.

2025.02.05 19:32유혜진 기자

18년 만에 바뀐 국가망보안체계…기대감 속 과기부 'CSAP'와 혼란 여전

정부가 추진하는 국가망보안체계(N²SF) 가이드라인 초안이 공개되면서 IT 업계의 기대감이 커지고 있다. 기존 클라우드보안인증(CSAP) 제도와의 중첩 우려와 함께 정보시스템 등급 분류 기준, 통제 부문의 해석 등에 대해 모호하다는 지적이 나오고 있지만 공공 데이터 활용이 더 확산돼 사업 기회가 많아질 것이란 분석도 나온다. 24일 업계에 따르면 국정원이 지난 23일 공개한 국가망보안체계(N²SF) 가이드라인에 따르면 정부 전산망은 업무 중요도에 따라 ▲기밀(Classfied) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류된다. 이에 맞춰 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 기밀(C) 혹은 민감(S)으로 분류해야 한다. 이 외 모든 정보는 공개(O)로 나눠야 한다. 다만 즉시 전 국가 기관이 이를 전환해야 하는 것은 아니다. 국가 망 보안체계 적용은 ▲준비 ▲C·S·O 등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정 등 5단계로 추진된다. 이 중 C·S·O 등급 분류는 각급기관의 장이 맡는다. 이를 시행한다고 해도 망 분리를 즉시 없앨 필요는 없다. 'N²SF'는 기존 망분리를 폐지하는 것이 아닌 현실에 맞게 일부 개선하는 것으로, 각급기관에서 등급별 보안대책을 고려해 망분리를 유지하거나 개선할 수 있다. 국정원 관계자는 "각급기관에서 C·S·O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용 가능하다"며 "새로운 체계가 시행된다고 해도 기존 검증 제품은 해당 유효기간까지 효력도 인정된다"고 설명했다. 각급 기관은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 영역으로 구성된 '보안통제 항목'에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다. 'N²SF' 체계는 ▲인터넷 단말에서 문서편집기 등 업무에 활용 ▲업무환경에서 생성형 AI 및 외부 클라우드(SaaS) 활용 ▲연구목적 단말의 신기술 활용 등 정보서비스 모델을 마련하는 데 주로 적용된다. 국정원은 이에 대한 8개의 정보 서비스 활용 모델을 예시로 든 상태로, 향후 다양한 정보 서비스를 반영한 추가 모델도 지속해 개발·업데이트할 예정이다. 또 이를 통해 국가·공공기관 업무환경 혁신 및 편리성을 제고한다는 방침이다. 국정원은 "이번에 배포한 보안 가이드라인은 드래프트(Draft) 버전으로, 각급기관이 새로운 체계에 적용하는데 필요한 준비시간을 고려하면서 선도사업을 통해 확인된 미비점·보완사항 등을 반영하기 위해 이처럼 나섰다"며 "올해 7월에는 N2SF 보안가이드가 정식 배포·시행될 계획"이라고 설명했다. 정부는 지난해 공공부문에 적용된 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다고 보고 18년 만에 변화를 줬다. 이에 맞춰 공공 매출 비중이 큰 보안, 서비스형소프트웨어(SaaS), 클라우드 등 관련 IT 기업들은 올해 사업 전략에 이를 반영해 새로운 기회를 마련하고자 분주히 움직이는 분위기다. 업계 관계자는 "이번 초안에 따라 획일적인 망분리 정책 변화로 산업 발전과 공공데이터 활용이 더욱 확산되길 기대하고 있다"며 "이번에 공개된 망 보안체계 가이드라인에 이어 이를 활용할 클라우드 보안 가이드라인도 신속하게 개정해 실제 공공시장에서 지연되고 있는 많은 사업과 기회들이 하루 빨리 진행돼 산업 생태계가 원활히 운영되길 바란다"고 밝혔다. 또 다른 관계자는 "이번 일로 각 기업의 투자, 보안조치 강화 등의 노력이 필요할 것으로 예상된다"면서도 "신규 적용하는 국가 보안체계인 만큼 보안성, 효율성 측면 모두 적극 협조 및 대응할 것"이라고 말했다. 하지만 일각에선 이번 일로 혼선을 빚고 있는 과기정통부의 CSAP가 무용지물이 될 수 있다는 지적도 나오고 있다. CSAP 제도가 분류기준 등을 국정원의 '국가 정보보안 기본지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'에서 준용하는 만큼, N2SF 전환에 따른 영향을 받을 수밖에 없다는 입장이다. 지난 2023년부터 시행된 CSAP는 국가·공공기관에 공급할 민간 클라우드 서비스의 보안성을 검토해 부여하는 인증으로, 공급 대상 '시스템' 중요도에 따라 상·중·하 3개 등급으로 나누는 등급제다. 국정원과 과기정통부는 평가 대상과 목적부터 다르고 근거법령도 상이한 별개의 제도인 만큼 'N2SF' 도입 후에도 CSAP가 폐지·흡수되는 일은 없다고 보고 있다. 국정원은 "과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도로, 국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입 시 보안요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"며 "과기부는 각급기관 및 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라고 설명했다. 또 일각에서 N2SF, CSAP 등 각각의 제도·인증 등이 이중 심사라고 보는 점에 대해선 "국정원은 관련 법령에 근거해 국가·공공기관의 정보화사업 보안성 검토 및 검증을 실시하고 있다"며 "정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사·검토 없이 공공분야 보안기준 위주로 검증하고 있으므로 이중 심사는 아니다"고 강조했다. N2SF 보안가이드를 올해 7월 정식 배포·시행하기 전 C·S·O 등급분류 기준 등을 좀 더 명확하게 하는 한편, 미비점을 보완해야 한다는 지적도 나왔다. 업계 관계자는 "정보시스템 C·S·O 등급분류 기준과 이를 정하는 기관장의 역할, 권한 및 국정원과의 연계 부분이 보다 구체적이고 현실적인 형태로 가이드되길 바란다"며 "통제 부문의 해석에서도 '원격접속위치통제'와 같이 해석의 여지가 있는 부분 등은 보다 세밀한 해설서를 통해 혼선이 없길 기대한다"고 말했다. 국정원은 이번 일로 기존 획일적 망 분리에서 벗어나 업무 중요도별 보안통제를 차등 적용함으로써 보안성 확보와 함께 AI·클라우드 등 새로운 IT 기술을 원활히 활용할 수 있을 것으로 기대했다. 국정원은 "각급기관이 공공데이터 개방·공유 환경 구축 시 편의성이 증대되고 국민과 기업의 공공데이터 기반 서비스 활용도 증가할 것으로 전망한다"며 "이를 통해 공공데이터의 개방·활용 확대로 국가 데이터 산업 발전 및 대규모 사업 추진에 따른 국내 IT·정보보호 시장이 더욱 활성화될 것으로 기대된다"고 밝혔다.

2025.01.24 16:50장유미 기자

"18년 만에 손질"…망분리 정책 개선할 '新 국가 망 보안체계' 공개, 하반기 본격 시행

정부가 추진하는 국가망보안체계(N²SF) 가이드라인이 드디어 베일을 벗었다. 당초 내달 발표할 예정이었지만 보안업계의 불확실성 해소 등을 위해 공개 시일을 다소 앞당겼다. 정부는 지난해 공공부문에 적용된 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다고 보고 18년 만에 변화를 줬다. 이번 대책은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 통제항목으로 분류한 것이 특징으로, 기업과 기관에서 정보 중요도에 따라 보안 통제를 적용해야 할 것으로 보인다. 국가정보원은 이 같은 내용을 담은 'N²SF 가이드라인'을 23일 발표했다. 올해 1월부터 기존 획일적인 망 분리 정책에서 벗어나 데이터 활용성과 보안성을 동시에 충족하는 이 가이드라인에 맞춰 공공데이터의 공유 및 AI·클라우드 등 신기술의 공공분야 적용 활성화를 적극 추진하겠다는 방침이다. 당초 국정원은 망분리 개선 정책의 명칭을 '다층보안체계(MLS·Multi Level Security)'로 명명했으나, 정부의 망분리 개선 정책 방향성을 다 담지 못한다고 판단해 'N²SF'로 바꿨다. 특히 MLS는 1960년대 후반 문서 보안등급과 문서에 접근하려는 사람의 보안 등급을 견줘 허가 여부를 정하는 미국 국방부의 보안 정책에서 시작된 개념으로, 우리나라에서 그대로 적용하기엔 적합하지 않다는 지적도 제기돼왔다. 이 가이드라인의 핵심은 정부 전산망을 업무 중요도에 따라 ▲기밀(Classfied) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류하고, 보안통제 항목을 차등적으로 적용해 보안성과 데이터 공유 활성화를 동시에 충족하는 것이다. 이에 맞춰 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 기밀(C) 혹은 민감(S)으로 분류해야 한다. 이 외 모든 정보는 공개(O)로 나눠야 한다. 다만 즉시 전 국가 기관이 이를 전환해야 하는 것은 아니다. 국정원 관계자는 "각급기관은 시스템 규모·예산 등 기관별 상황을 고려, 신규 구축 예정 또는 내구연한 도래 시스템 등을 우선 신 체계에 맞춰 전환할 수 있다"며 "특히 대규모 시스템의 경우 단기간 내 등급분류 및 망 전환이 어려울 수 있어 우선 ISP 실시 등 면밀한 계획 수립 후 점진적으로 추진할 수 있다"고 설명했다. 국가 망 보안체계 적용은 ▲준비 ▲C·S·O 등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정 등 5단계로 추진된다. 이 중 C·S·O 등급 분류는 각급기관의 장이 맡는다. 현재도 민원인의 정보공개 청구 시 해당 정보의 공개 여부를 각급기관의 장이 판단해 결정하고 있다. 이를 시행한다고 해도 망 분리를 즉시 없앨 필요는 없다. 'N²SF'는 기존 망분리를 폐지하는 것이 아닌 현실에 맞게 일부 개선하는 것으로, 각급기관에서 등급별 보안대책을 고려해 망분리를 유지하거나 개선할 수 있다. 국정원 관계자는 "각급기관에서 C·S·O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용 가능하다"며 "새로운 체계가 시행된다고 해도 기존 검증 제품은 해당 유효기간까지 효력도 인정된다"고 설명했다. 각급 기관은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 영역으로 구성된 '보안통제 항목'에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다. 구체적으로 '권한 영역'은 정보시스템 등 접속에 대한 최소 권한 부여 및 신원 검증 등을 통해 적절한 권한을 부여하도록 한다. '인증 영역'은 다중요소 인증(Multi-Factor Authentication) 및 외부 인증수단과의 연계 등을 통해 보안성과 편리성을 고려한 다양한 인증방법을 구현하도록 설정한다. '분리 및 격리 영역'은 하드웨어·운영체제(OS)·소프트웨어 등을 활용한 '분리'와 프로세서 및 어플리케이션 접근통제 등을 통한 '격리'와 같이 보안수준에 따른 다양한 기술적 보안대책 수단을 제시한다. '통제 영역'은 인가된 데이터 전송방식 및 데이터 유형 등을 통해 정보흐름을 통제하고 기관 전산망 경계 구간에서의 접근통제와 원격접속시 보안통제를 통해 중요정보 유출 차단 및 기관 전산망 보호에 방점을 둔다. '데이터 영역'은 암호기술 적용 및 암호화 키 관리 등을 통해 안전하게 데이터를 저장·관리하도록 한다. '정보자산 영역'은 모바일 단말·하드웨어 장치·정보시스템 구성요소 등에 대한 보호방안이 주된 내용이다. 국정원은 "국가 망 보안체계의 핵심개념인 '데이터 공유 활성화'와 '보안성'을 동시 확보하기 위해 보안통제 항목의 정확한 적용이 필요하다"며 "이러한 보안통제 항목은 기술구현에 관한 각계의 의견을 수렴해가면서 최신 보안기술을 지속 반영해 나갈 예정"이라고 설명했다. 'N²SF' 체계는 ▲인터넷 단말에서 문서편집기 등 업무에 활용 ▲업무환경에서 생성형 AI 및 외부 클라우드(SaaS) 활용 ▲연구목적 단말의 신기술 활용 등 정보서비스 모델을 마련하는 데 주로 적용된다. 국정원은 이에 대한 8개의 정보 서비스 활용 모델을 예시로 든 상태로, 향후 다양한 정보 서비스를 반영한 추가 모델도 지속해 개발·업데이트할 예정이다. 또 이를 통해 국가·공공기관 업무환경 혁신 및 편리성을 제고한다는 방침이다. 국정원은 "올해 1월 이 가이드라인을 각급기관에 배포해 공공분야 담당자 이해도를 제고했다"며 "유관 협회·기관 등 산업계의 제품 개발·수출 등에 참고·지원토록 국가사이버안보센터 홈페이지에도 공개했다"고 말했다. 그러면서 "이번에 배포한 보안 가이드라인은 드래프트(Draft) 버전으로, 각급기관이 새로운 체계에 적용하는데 필요한 준비시간을 고려하면서 선도사업을 통해 확인된 미비점·보완사항 등을 반영하기 위해 이처럼 나섰다"며 "올해 7월에는 N2SF 보안가이드가 정식 배포·시행될 계획"이라고 덧붙였다. 또 국정원은 올해 상반기 중 새로운 국가 망 보안체계를 각급 기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회·과기정통부 등 관계부처와 협조해 '정보서비스 모델'을 반영한 선도사업을 추진, 안정적인 정책 확산을 유도할 계획이다. 이와 함께 단기적으로 ▲소규모 네트워크 ▲N2SF 적용이 용이한 사업 ▲올해 계획된 망분리 사업 등 즉시 추진 가능한 정보화 사업은 새로운 보안체계를 우선 적용키로 했다. 또 중장기적으로 정보화전략계획(ISP) 수행 및 기재부 등 관계부처 검토가 필요한 대규모 시스템은 예산, 재구축 소요기간 등 고려해 단계적으로 전환키로 했다. 또 국정원은 상반기 중 선도사업 등을 통한 안전성 검증 및 N2SF 조기 도입 희망기관 대상 컨설팅 등 각급기관이 새로운 정책 적용에 차질이 없도록 밀착 지원한다는 방침이다. 올해 하반기에는 보안가이드 미비점을 보완한 후 정식 배포 등 정책도 본격 시행할 계획이다. 다만 일각에선 N2SF 정책 시행으로 국내 업계에 불리할 것으로 보는 시각도 있다. 이에 국정원은 글로벌 스탠다드 및 해외 사례 등을 참조해 보안정책을 수립해 문제 없다는 입장이다. 또 다수가 공감할 수 있는 정책 시행을 위해 각계 전문가·협의체 등을 통해 의견 수렴 및 공감대 형성 등에 나서고 있다는 점도 피력했다. 또 과기정통부의 클라우드 보안인증제(CSAP)와 혼선이 빚어지고 있는 부분에 대해서도 명확하게 선을 그었다. 지난 2023년부터 시행된 CSAP는 국가·공공기관에 공급할 민간 클라우드 서비스의 보안성을 검토해 부여하는 인증으로, 공급 대상 '시스템' 중요도에 따라 상·중·하 3개 등급으로 나누는 등급제다. 일단 국정원과 과기정통부는 평가 대상과 목적부터 다르고 근거법령도 상이한 별개의 제도인 만큼 'N2SF' 도입 후에도 CSAP가 폐지·흡수되는 일은 없다고 보고 있다. 그러나 업계에선 CSAP 제도가 분류기준 등을 국정원의 '국가 정보보안 기본지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'에서 준용하는 만큼, N2SF 전환에 따른 영향을 받을 수밖에 없다는 입장이다. 이에 N2SF 발표에 맞춰 CSAP 개편도 이뤄져야 한다고 판단하고 있다. 이에 대해 국정원은 "과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도로, 국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입 시 보안요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"며 "과기부는 각급기관 및 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라고 설명했다. 또 일각에서 N2SF, CSAP 등 각각의 제도·인증 등이 이중 심사라고 보는 점에 대해선 "국정원은 관련 법령에 근거해 국가·공공기관의 정보화사업 보안성 검토 및 검증을 실시하고 있다"며 "정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사·검토 없이 공공분야 보안기준 위주로 검증하고 있으므로 이중 심사는 아니다"고 강조했다. 국정원은 이번 일로 기존 획일적 망 분리에서 벗어나 업무 중요도별 보안통제를 차등 적용함으로써 보안성 확보와 함께 AI·클라우드 등 새로운 IT 기술을 원활히 활용할 수 있을 것으로 기대했다. 국정원은 "각급기관이 공공데이터 개방·공유 환경 구축 시 편의성이 증대되고 국민과 기업의 공공데이터 기반 서비스 활용도 증가할 것으로 전망한다"며 "이를 통해 공공데이터의 개방·활용 확대로 국가 데이터 산업 발전 및 대규모 사업 추진에 따른 국내 IT·정보보호 시장이 더욱 활성화될 것으로 기대된다"고 말했다.

2025.01.23 17:09장유미 기자