검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'망 분리'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

AI 시대에도 물리적 망분리?…산업계 "시대착오적"

클라우드와 인공지능(AI)이 행정·산업 전반으로 확산되고 있지만 국내 공공기관은 여전히 '물리적 망분리'라는 낡은 제도에 묶여 있다는 비판이 제기된다. 보안을 이유로 한 분리된 업무 환경 강제가 오히려 혁신을 가로막고 공무원들의 AI 활용 역량 성장도 저해한다는 지적이다. 19일 소프트웨어(SW) 업계에 따르면 행정안전부가 발표한 '2025년 행정·공공기관 클라우드컴퓨팅 수요예보'에서도 공공 부문의 클라우드 전환율은 45%에 그쳐 세계 평균 85%에 크게 뒤처진 것으로 나타났다. 전문가들은 이러한 부진의 배경에 물리적 망분리 정책이 자리하고 있다고 꼬집는다. 현재 대부분의 행정기관은 인터넷망과 업무망을 별도로 운영하는 물리적 망분리 환경을 유지한다. 하지만 이 같은 구조에서는 클라우드와 AI를 원활히 도입하기 어렵다는 지적이 나온다. 단순히 AI 결괏값만 외부 서버에서 받아보는 방식으로는 활용 효과를 극대화할 수 없다는 설명이다. 업계 일각에서는 이같은 환경이 결국 공무원들의 AI 역량을 제약하고 나아가 산업 전반의 혁신 속도를 늦추고 있다고 비판한다. 실제 민감한 행정 데이터를 다루는 기관의 경우 국가정보자원관리원 인프라를 기반으로 외부와 차단된 상태에서 내부 전용 AI를 구축해야 하는 현실이다. 국제 비교에서도 한국의 뒤처짐은 뚜렷하다. 미국은 2010년 '클라우드 퍼스트' 정책에 이어 최근에는 중앙조달청(GSA)을 중심으로 아마존웹서비스(AWS)·구글·오라클 등과 수조원대 계약을 체결하며 전환을 가속화하고 있다. '페드램프 20x' 제도를 도입해 보안 인증 기간을 평균 5주 이내로 단축했고 공무원들이 주요 AI 모델을 시험적으로 활용할 수 있는 'USAi' 플랫폼도 운영 중이다. 유럽연합(EU) 역시 '유로 클라우드 프로젝트'를 추진해 회원국 전반에 통합적인 클라우드 확산 정책을 전개하고 있다. 문제는 공공부문이 변화하지 않으면 민간의 혁신도 제약받는다는 점이다. 글로벌 클라우드 기업들이 논리적 망분리 모델을 앞세워 국내 공공시장에 진입하는 상황에서 국내 기업들은 여전히 물리적 망분리 규제에 막혀 역차별을 겪고 있다는 우려가 나온다. 실제로 국내 SW 기업은 공공시장에 진입하려면 국정원 보안 기능 확인서와 국제 공통 평가 기준(CC) 인증을 모두 받아야 한다. 반면 해외 기업은 자국이나 국제 인증만으로 충분해 이중 규제가 국내 기업의 역차별로 이어진다는 지적이 나온다. 전문가들은 해법으로 행정망에서도 일정 수준의 보안 체계를 전제로 클라우드와 AI 활용을 허용하는 제도 혁신을 꼽는다. 아울러 해외 클라우드 사업자가 논리적 망분리 모델을 앞세워 공공시장에 들어오는 상황에서 국내 기업도 역차별 없이 공정하게 경쟁할 수 있는 제도적 환경이 필요하다는 목소리가 나온다. 무엇보다 단순히 '망을 유지하면서 AI를 얹는' 식이 아니라 세계적 흐름에 맞게 과감히 혁신해야 한다는 목소리가 커지고 있다. 업계 관계자는 "AI와 클라우드가 확산되는 시대에 여전히 물리적 망분리에만 의존하는 것은 시대착오적"이라며 "다만 해외 기업이 논리적 망분리를 앞세워 공공시장에 진입하는 만큼 국내 기업도 역차별 없는 공정한 경쟁 환경 속에서 클라우드와 AI를 활용할 수 있도록 제도 개선이 필요하다"고 말했다.

2025.09.19 13:44한정호

美, 이 대통령 방미 앞두고 "공공 클라우드 열어라"…디지털 통상 압박 본격화

미국 디지털서비스 업계가 우리나라의 클라우드 보안인증제도(CSAP)를 대표적 무역 장벽으로 지목하며 제도 개편을 공개적으로 촉구하고 나섰다. 오는 25일 예정된 이재명 대통령의 미국 방문을 앞두고 한미 정상회담 의제를 겨냥한 압박 수위가 높아지는 모습이다. 미국 컴퓨터통신산업협회(CCIA)는 20일 하워드 러트닉 미국 상무부 장관에게 서한을 보내 "한미 정상회담이 한국의 디지털 무역 장벽 해소를 위한 결정적 계기가 돼야 한다"며 CSAP를 포함한 주요 규제 완화를 요구했다. 이번 서한은 CCIA를 포함한 6개 미국 디지털·IT 관련 협회 공동명의로 발송됐다. 이들은 ▲CSAP 및 망분리 요건 ▲정밀지도 반출 제한 ▲온라인플랫폼법 ▲AI 기본법 추진 등 한국의 각종 규제를 미국 기업에 불리한 비관세 장벽으로 규정했다. 이들이 특히 지목한 핵심 제도는 CSAP다. CSAP는 국내 공공기관이 민간 클라우드를 도입할 때 필수로 요구되는 보안 인증 제도로, 데이터 민감도에 따라 상·중·하 3등급으로 나뉜다. 현재 외국계 클라우드 서비스 사업자(CSP)에게는 하 등급까지 허용돼 있다. 이에 대해 CCIA는 "세계무역기구(WTO) 및 한미 자유무역협정(FTA)에 따라 미국 CSP도 한국 공공기관의 클라우드 업무를 처리할 수 있어야 한다"며 "최소한 중등급까지는 외국계 CSP에 개방해야 한다"고 주장하고 있다. 실제 마이크로소프트(MS)·구글·아마존웹서비스(AWS) 등 미국계 CSP 3사는 지난해 말부터 올해 상반기까지 차례로 하 등급 인증을 획득했다. 그러나 공공기관의 핵심 업무가 포함된 중·상등급 시스템은 여전히 물리적 망분리 요건이 적용돼 외국 기업의 접근이 사실상 불가능한 상황이다. 미국 측은 이러한 조건이 차별적이라고 보고 있다. CSAP가 ▲현지화 의무(서버·데이터·인력) ▲국내 암호화 모듈 사용 의무 등 국제표준과 상충되는 요건을 포함해 외국계 기업의 진입을 사실상 제한하고 있다는 논리다. 반면 국내 클라우드 업계는 미국 정부와 기업들이 주장하는 '중등급 논리적 망분리 허용' 요구에 강하게 반발하고 있다. 국내 CSP들이 수년간 수백억 원을 투자해 물리적 망분리·보안 요건·가용 영역 등 공공시장용 인프라를 갖춘 만큼 외국계 기업에 대한 규제 완화는 형평성에 어긋난다는 주장이다. 정부 역시 고민이 깊어지고 있다. CSAP는 국가 정보보호 체계의 핵심이자 디지털 통상 압박에 대응하는 정책 도구로 기능해왔다. 특히 미국 측은 이번 사안을 단순한 산업 규제를 넘어 AI 국제 전략의 연장선상에서 바라보고 있어 향후 협상에서 국가안보와 무역개방이라는 가치가 정면 충돌할 가능성도 있다. 이런 상황 속 이재명 대통령은 오는 25일 백악관에서 도널드 트럼프 미국 대통령과 첫 정상회담을 가질 예정이다. 이번 회담은 한미 관세 협상 타결 2주 만에 열리는 후속 외교 일정으로, 디지털 무역 현안이 테이블에 오를지 주목된다. 정치권과 업계에선 "관세는 해결됐지만 클라우드와 플랫폼 이슈는 남아 있다"는 분위기가 지배적이다. 실제로 미국은 한국을 비롯한 동맹국들에 자국의 AI 기술과 인프라 활용을 강하게 요청하고 있으며 클라우드는 그 핵심 인프라로 간주된다. 클라우드 업계 관계자는 "미국의 요구는 단순한 무역 이슈가 아닌 디지털 주권 문제"라며 "CSAP 제도의 향방은 향후 한미 통상 관계 전반에 영향을 줄 수 있다"고 말했다.

2025.08.20 18:01한정호

한국맥도날드, '가비아 DaaS'로 망분리 환경 구축…ISMS 인증 준비 강화

가비아가 고해상도·고사양과 우수한 보안을 갖춘 서비스형 데스크톱(DaaS)을 다양한 산업에 확산하고 있다. 가비아는 한국맥도날드에 자사 가상 데스크톱 서비스 '가비아 DaaS'를 공급했다고 5일 밝혔다. 한국맥도날드는 정보보호관리체계(ISMS) 인증을 준비하며 선진적인 보안 체계 구축과 업무 환경의 유연성 확보를 위한 전략의 일환으로 클라우드 기반 망분리 환경을 도입했다. 이를 통해 전사적인 정보보호 수준을 한층 강화했다. 가비아는 한국맥도날드의 업무 구조에 맞춰 ▲가상 데스크톱 내 채용 시스템 구축 ▲직무별 정보 접근 권한 세분화 ▲사용자 맞춤형 업무 환경 구성 등을 지원했다. 특히 가비아 DaaS는 4K 고해상도 출력과 고사양 그래픽 작업까지 안정적으로 지원해 실제 사용자 만족도를 끌어올린 것으로 평가된다. 이번 도입으로 한국맥도날드는 별도 장비나 복잡한 구축 과정 없이도 망분리 환경을 신속히 마련하고 ISMS 인증 요건을 효과적으로 충족할 수 있었다. 또 자율좌석제를 운영 중인 내부 업무 환경과도 높은 호환성을 보이며 유연한 근무 환경을 뒷받침하고 있다. 가비아 DaaS는 국내 DaaS 서비스 중 처음으로 클라우드 보안인증(CSAP)을 획득한 솔루션으로, 단말기와 무관하게 일관된 업무 환경을 제공하고 중앙 집중형 관리 체계를 통해 정보 유출 위험을 최소화하도록 지원한다. 가비아 송치훈 클라우드보안영업팀장은 "빠른 구축과 안정적 운영, 철저한 보안이 동시에 가능한 DaaS에 대한 수요가 꾸준히 늘고 있다"며 "앞으로도 유통·외식·제조 등 다양한 산업 현장에 최적화된 클라우드 기반 업무 환경을 제공해 나가겠다"고 밝혔다.

2025.06.05 09:17한정호

금융보안원, 연구개발 망분리 예외 적용 해설서 발간

금융보안원(원장 박상원)은 금융회사 등이 연구・개발망에서 혁신적인 금융서비스를 보다 적극적으로 개발・활용할 수 있게 보안관리 방안 등을 설명한 '연구・개발 목적의 망분리 예외 적용에 따른 보안 해설서'를 마련, 배포했다고 7일 밝혔다. 정부의 '금융분야 망분리 개선 로드맵'에 따른 '전자금융감독규정' 개정으로 연구・개발 분야 망분리 예외 적용이 확대됨에 따른 것이다. 이번 해설서는 ▲연구·개발망 정의 ▲망분리 예외에 따른 주요 보안 위협 ▲연구·개발망 구성 절차 ▲연구·개발망 보안관리 방안 등을 담았다. 연구・개발망은 프로그램을 코딩 또는 테스트하거나 AI 등 신기술을 통해 금융서비스를 자유롭게 개발할 수 있도록 금융회사 내부에 구성한 독립된 망이다. 이번 망분리 예외 적용으로 인터넷 등 외부통신망에 직접 연결됨에 따라 소스코드 등 중요정보 유출이나 취약한 외부 소스코드 사용에 따른 금융사고 발생, 또는 제3자 서비스를 경유한 내부 업무망 침투 등의 보안 위협이 발생할 수 있다. 이에, 이번 해설서는 연구・개발망에서 요구하는 보안대책을 명확하고 구체적으로 규정함으로써, 금융회사가 안심하고 연구・개발망을 구축・운영할 수 있게함은 물론 금융권 전반에 연구・개발망 활용이 확대되도록 지원하기 위한 것이다. 해설서는 중요정보 유출 방지를 위해 개인신용정보(가명정보 제외) 등 실 데이터를 활용한 테스트를 금지하고, 연구・개발망의 보안위협이 내부업무망 등으로 전이되지 않도록 망간 데이터 전송구간에 악성코드 점검 등 강화된 보안대책을 이행하도록 명시했다. 또 연구・개발망에서 재택근무 수행이나 클라우드 또는 무선통신망 등을 안전하게 활용할 수 있도록 사용자 인증 등 구체적인 통제 대책도 안내했다. 아울러, 연구・개발망 구성 시 보안성 확보를 위해 ①보안 위협 식별 → ②추가 보호대책 적용 → ③정보보호위원회 심의・의결의 과정을 거치도록 제안했다. 금융보안원 박상원 원장은 "금융보안원의 연구·개발 목적의 망분리 관련 해설서 발간으로 금융회사에서 연구·개발망을 보다 적극적으로 활용할 것으로 예상한다.”면서 "금융보안원은 금융회사가 안전하고 편리한 IT 환경에서 혁신적인 금융서비스를 지속적으로 개발할 수 있도록 필요한 모든 지원을 다하겠다.”고 밝혔다.

2025.05.07 22:43방은주

[현장] AWS "韓 AI 혁신, 논리적 망분리부터 확대해야"…공공시장 본격 진출 시사

클라우드 보안인증(CSAP) 하등급을 획득한 아마존웹서비스(AWS)가 공공부문의 인공지능(AI) 도입 확산을 위해 국내 망분리 요건을 완화해야 한다고 강조했다. AWS는 다양한 국내 기업들과의 협력 생태계를 구축하며 자사 클라우드·AI 서비스를 중심으로 정부·교육·의료 분야 혁신을 지원한다는 구상이다. 윤정원 AWS코리아 공공부문 대표는 18일 서울 역삼 AWS코리아 오피스에서 열린 'AWS코리아 공공부문 기자간담회'에서 "전 세계적으로 물리적 망분리를 기반으로 이용할 수 있는 서비스와 애플리케이션이 줄어들고 있다"며 "정부에서도 AI 도입을 추진하는데 이는 논리적 망분리와 데이터 개방 없이는 불가능하다"고 역설했다. AWS는 최근 구글 클라우드와 마이크로스프트에 이어 CSAP '하' 등급을 획득했다. '하' 등급은 국내 데이터센터를 세우지 않고도 가상 클라우드 서버를 이용한 논리적 망분리만으로 취득할 수 있다. 반면 CSAP 중·상등급의 경우 아직까진 내부망과 외부망을 철저히 분리하는 물리적 망분리가 필수 요건이다. 이와 관련해 앞서 미국 무역대표부(USTR)는 물리적 망분리 규정을 준수해야 하는 우리나라 CSAP 제도를 미국 클라우드 기업의 진출을 막는 무역장벽으로 지목한 바 있다. 이번 '하' 등급 인증으로 국내 공공시장에 본격적으로 진입하게 된 AWS도 망분리 요건을 더욱 완화해야 한다는 주장에 힘을 실었다. 윤 대표는 "미국 국방부에서는 논리적 망분리가 안전하다고 설명하고 있으며 영국 정부에서도 공공 데이터의 90% 이상이 개방 가능한 데이터라고 발표한 바 있다"며 "AI 혁신이 더욱 가속화되는 가운데 지금과 같은 물리적 망분리 기반 하에서는 지속적인 데이터 축적이 어렵다"고 설명했다. 이어 "우리나라는 다른 나라에 비해 데이터를 수집·정제·분석·활용하는 '데이터 트랜스포메이션' 과정이 미흡했다"며 "공공부문의 혁신을 위해선 데이터 트랜스포메이션과 AI 도입을 동시에 해야하는 게 주요 과제인데, 이에 대한 노하우를 갖고 있는 기업들의 지원이 핵심적일 것"이라고 덧붙였다. 또 윤 대표는 이제는 과거처럼 정부 서비스 개발에 거대 시스템 통합(SI) 방식의 사업이 아닌, 우수한 기업 솔루션을 빠르게 도입하는 것이 추세란 점을 강조하며 우리나라 역시 이 트렌드가 가속화 될 것이라고 전망했다. 더불어 그는 "이미 미국·영국·싱가폴 등 많은 국가가 AWS 클라우드를 기반으로 하는 기업 서비스와 정부 간 협력으로 혁신을 이뤄나가고 있다"며 정부·교육·의료 분야를 지원한 경험과 노하우를 공유했다. 특히 윤 대표는 이날 행사에 참석한 김성훈 업스테이지 대표, 김광수 서울대병원 융합의학기술원 교수, 정권호 제이앤피메디 대표와 함께 추진한 사업들도 소개했다. 국내 토종 거대언어모델(LLM) '솔라'를 개발·공급 중인 업스테이지는 AWS와 함께 '업스테이지-AWS AI 이니셔티브'를 발표해 초·중·고 및 대학, 비영리·비정부기관 등을 대상으로 솔라 LLM과 다큐먼트 AI를 무상 제공하고 있다. 또 AWS 기반 생성형 AI 구축 비용 전액 지원과 맞춤형 멘토링을 통해 공익 분야의 AI 활용에 앞장서고 있다. 서울대병원 융합의학기술원은 AWS 클라우드상에서 확인할 수 있는 다양한 개방형 환자 데이터를 연구에 활용하는 한편, 자체 온프레미스 기반 데이터레이크 구축 사업도 추진해 데이터 축적에도 나서며 전 세계 연구자들과 협력할 기회를 모색 중이다. 2020년 설립된 임상시험 솔루션 기업 제이앤피메디는 AWS의 생성형 AI 플랫폼 '아마존 베드록'을 활용해 구어체로 기록된 의학 관찰 내용을 의료 사전 항목에 매핑하는 서비스형 소프트웨어(SaaS)인 '메이븐 코더 익스프레스'를 개발해 제공 중이다. 윤 대표는 "규제가 가장 강한 금융·의료 분야에서 AWS 서비스를 이용하고 있는데, 이는 AI 학습을 위해 데이터를 쌓고 보안을 유지하며 실시간 모니터링이 가능한 인프라는 퍼블릭 클라우드밖에 없기 때문"이라며 "더 강력한 보안을 요구하는 공공 고객들을 위해 퍼블릭 클라우드 상에서 지원할 수 있는 버추얼 프라이빗 클라우드(VPC) 서비스도 제공 중"이라고 밝혔다. 이어 "올해와 내년 고객들의 클라우드·AI 도입 수요가 봇물처럼 쏟아져 나올 것 같다"며 "기업과 공공이 협력하는 생태계를 구축할 수 있도록 지속적으로 발전해 나갈 것"이라고 덧붙였다.

2025.04.18 15:15한정호

"18년 만에 손질"…망분리 정책 개선할 '新 국가 망 보안체계' 공개, 하반기 본격 시행

정부가 추진하는 국가망보안체계(N²SF) 가이드라인이 드디어 베일을 벗었다. 당초 내달 발표할 예정이었지만 보안업계의 불확실성 해소 등을 위해 공개 시일을 다소 앞당겼다. 정부는 지난해 공공부문에 적용된 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다고 보고 18년 만에 변화를 줬다. 이번 대책은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 통제항목으로 분류한 것이 특징으로, 기업과 기관에서 정보 중요도에 따라 보안 통제를 적용해야 할 것으로 보인다. 국가정보원은 이 같은 내용을 담은 'N²SF 가이드라인'을 23일 발표했다. 올해 1월부터 기존 획일적인 망 분리 정책에서 벗어나 데이터 활용성과 보안성을 동시에 충족하는 이 가이드라인에 맞춰 공공데이터의 공유 및 AI·클라우드 등 신기술의 공공분야 적용 활성화를 적극 추진하겠다는 방침이다. 당초 국정원은 망분리 개선 정책의 명칭을 '다층보안체계(MLS·Multi Level Security)'로 명명했으나, 정부의 망분리 개선 정책 방향성을 다 담지 못한다고 판단해 'N²SF'로 바꿨다. 특히 MLS는 1960년대 후반 문서 보안등급과 문서에 접근하려는 사람의 보안 등급을 견줘 허가 여부를 정하는 미국 국방부의 보안 정책에서 시작된 개념으로, 우리나라에서 그대로 적용하기엔 적합하지 않다는 지적도 제기돼왔다. 이 가이드라인의 핵심은 정부 전산망을 업무 중요도에 따라 ▲기밀(Classfied) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류하고, 보안통제 항목을 차등적으로 적용해 보안성과 데이터 공유 활성화를 동시에 충족하는 것이다. 이에 맞춰 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 기밀(C) 혹은 민감(S)으로 분류해야 한다. 이 외 모든 정보는 공개(O)로 나눠야 한다. 다만 즉시 전 국가 기관이 이를 전환해야 하는 것은 아니다. 국정원 관계자는 "각급기관은 시스템 규모·예산 등 기관별 상황을 고려, 신규 구축 예정 또는 내구연한 도래 시스템 등을 우선 신 체계에 맞춰 전환할 수 있다"며 "특히 대규모 시스템의 경우 단기간 내 등급분류 및 망 전환이 어려울 수 있어 우선 ISP 실시 등 면밀한 계획 수립 후 점진적으로 추진할 수 있다"고 설명했다. 국가 망 보안체계 적용은 ▲준비 ▲C·S·O 등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정 등 5단계로 추진된다. 이 중 C·S·O 등급 분류는 각급기관의 장이 맡는다. 현재도 민원인의 정보공개 청구 시 해당 정보의 공개 여부를 각급기관의 장이 판단해 결정하고 있다. 이를 시행한다고 해도 망 분리를 즉시 없앨 필요는 없다. 'N²SF'는 기존 망분리를 폐지하는 것이 아닌 현실에 맞게 일부 개선하는 것으로, 각급기관에서 등급별 보안대책을 고려해 망분리를 유지하거나 개선할 수 있다. 국정원 관계자는 "각급기관에서 C·S·O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용 가능하다"며 "새로운 체계가 시행된다고 해도 기존 검증 제품은 해당 유효기간까지 효력도 인정된다"고 설명했다. 각급 기관은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 영역으로 구성된 '보안통제 항목'에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다. 구체적으로 '권한 영역'은 정보시스템 등 접속에 대한 최소 권한 부여 및 신원 검증 등을 통해 적절한 권한을 부여하도록 한다. '인증 영역'은 다중요소 인증(Multi-Factor Authentication) 및 외부 인증수단과의 연계 등을 통해 보안성과 편리성을 고려한 다양한 인증방법을 구현하도록 설정한다. '분리 및 격리 영역'은 하드웨어·운영체제(OS)·소프트웨어 등을 활용한 '분리'와 프로세서 및 어플리케이션 접근통제 등을 통한 '격리'와 같이 보안수준에 따른 다양한 기술적 보안대책 수단을 제시한다. '통제 영역'은 인가된 데이터 전송방식 및 데이터 유형 등을 통해 정보흐름을 통제하고 기관 전산망 경계 구간에서의 접근통제와 원격접속시 보안통제를 통해 중요정보 유출 차단 및 기관 전산망 보호에 방점을 둔다. '데이터 영역'은 암호기술 적용 및 암호화 키 관리 등을 통해 안전하게 데이터를 저장·관리하도록 한다. '정보자산 영역'은 모바일 단말·하드웨어 장치·정보시스템 구성요소 등에 대한 보호방안이 주된 내용이다. 국정원은 "국가 망 보안체계의 핵심개념인 '데이터 공유 활성화'와 '보안성'을 동시 확보하기 위해 보안통제 항목의 정확한 적용이 필요하다"며 "이러한 보안통제 항목은 기술구현에 관한 각계의 의견을 수렴해가면서 최신 보안기술을 지속 반영해 나갈 예정"이라고 설명했다. 'N²SF' 체계는 ▲인터넷 단말에서 문서편집기 등 업무에 활용 ▲업무환경에서 생성형 AI 및 외부 클라우드(SaaS) 활용 ▲연구목적 단말의 신기술 활용 등 정보서비스 모델을 마련하는 데 주로 적용된다. 국정원은 이에 대한 8개의 정보 서비스 활용 모델을 예시로 든 상태로, 향후 다양한 정보 서비스를 반영한 추가 모델도 지속해 개발·업데이트할 예정이다. 또 이를 통해 국가·공공기관 업무환경 혁신 및 편리성을 제고한다는 방침이다. 국정원은 "올해 1월 이 가이드라인을 각급기관에 배포해 공공분야 담당자 이해도를 제고했다"며 "유관 협회·기관 등 산업계의 제품 개발·수출 등에 참고·지원토록 국가사이버안보센터 홈페이지에도 공개했다"고 말했다. 그러면서 "이번에 배포한 보안 가이드라인은 드래프트(Draft) 버전으로, 각급기관이 새로운 체계에 적용하는데 필요한 준비시간을 고려하면서 선도사업을 통해 확인된 미비점·보완사항 등을 반영하기 위해 이처럼 나섰다"며 "올해 7월에는 N2SF 보안가이드가 정식 배포·시행될 계획"이라고 덧붙였다. 또 국정원은 올해 상반기 중 새로운 국가 망 보안체계를 각급 기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회·과기정통부 등 관계부처와 협조해 '정보서비스 모델'을 반영한 선도사업을 추진, 안정적인 정책 확산을 유도할 계획이다. 이와 함께 단기적으로 ▲소규모 네트워크 ▲N2SF 적용이 용이한 사업 ▲올해 계획된 망분리 사업 등 즉시 추진 가능한 정보화 사업은 새로운 보안체계를 우선 적용키로 했다. 또 중장기적으로 정보화전략계획(ISP) 수행 및 기재부 등 관계부처 검토가 필요한 대규모 시스템은 예산, 재구축 소요기간 등 고려해 단계적으로 전환키로 했다. 또 국정원은 상반기 중 선도사업 등을 통한 안전성 검증 및 N2SF 조기 도입 희망기관 대상 컨설팅 등 각급기관이 새로운 정책 적용에 차질이 없도록 밀착 지원한다는 방침이다. 올해 하반기에는 보안가이드 미비점을 보완한 후 정식 배포 등 정책도 본격 시행할 계획이다. 다만 일각에선 N2SF 정책 시행으로 국내 업계에 불리할 것으로 보는 시각도 있다. 이에 국정원은 글로벌 스탠다드 및 해외 사례 등을 참조해 보안정책을 수립해 문제 없다는 입장이다. 또 다수가 공감할 수 있는 정책 시행을 위해 각계 전문가·협의체 등을 통해 의견 수렴 및 공감대 형성 등에 나서고 있다는 점도 피력했다. 또 과기정통부의 클라우드 보안인증제(CSAP)와 혼선이 빚어지고 있는 부분에 대해서도 명확하게 선을 그었다. 지난 2023년부터 시행된 CSAP는 국가·공공기관에 공급할 민간 클라우드 서비스의 보안성을 검토해 부여하는 인증으로, 공급 대상 '시스템' 중요도에 따라 상·중·하 3개 등급으로 나누는 등급제다. 일단 국정원과 과기정통부는 평가 대상과 목적부터 다르고 근거법령도 상이한 별개의 제도인 만큼 'N2SF' 도입 후에도 CSAP가 폐지·흡수되는 일은 없다고 보고 있다. 그러나 업계에선 CSAP 제도가 분류기준 등을 국정원의 '국가 정보보안 기본지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'에서 준용하는 만큼, N2SF 전환에 따른 영향을 받을 수밖에 없다는 입장이다. 이에 N2SF 발표에 맞춰 CSAP 개편도 이뤄져야 한다고 판단하고 있다. 이에 대해 국정원은 "과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도로, 국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입 시 보안요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"며 "과기부는 각급기관 및 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라고 설명했다. 또 일각에서 N2SF, CSAP 등 각각의 제도·인증 등이 이중 심사라고 보는 점에 대해선 "국정원은 관련 법령에 근거해 국가·공공기관의 정보화사업 보안성 검토 및 검증을 실시하고 있다"며 "정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사·검토 없이 공공분야 보안기준 위주로 검증하고 있으므로 이중 심사는 아니다"고 강조했다. 국정원은 이번 일로 기존 획일적 망 분리에서 벗어나 업무 중요도별 보안통제를 차등 적용함으로써 보안성 확보와 함께 AI·클라우드 등 새로운 IT 기술을 원활히 활용할 수 있을 것으로 기대했다. 국정원은 "각급기관이 공공데이터 개방·공유 환경 구축 시 편의성이 증대되고 국민과 기업의 공공데이터 기반 서비스 활용도 증가할 것으로 전망한다"며 "이를 통해 공공데이터의 개방·활용 확대로 국가 데이터 산업 발전 및 대규모 사업 추진에 따른 국내 IT·정보보호 시장이 더욱 활성화될 것으로 기대된다"고 말했다.

2025.01.23 17:09장유미

새해도 AI 사이버 위협 확대…보안 중요성 커져

새해에도 인공지능(AI) 기반 사이버 위협과 보안 기술이 한층 확대될 전망이다. 6일 시큐아이가 발표한 '2025년 주목해야 할 5대 보안 트렌드' 보고서에 따르면 AI 등 신기술 기반 사이버 위협이 새해부터 활성화할 것이란 예측이 나왔다. 이에 보고서는 새해 5대 보안 트렌드로 ▲AI 시대 양날의 검 ▲진화하는 융복합 사이버 공격 ▲인공지능전환(AX) 시대 클라우드 보편화 ▲공급망 보안을 위한 혁신적 접근 ▲국내 사이버 보안 프레임워크 변화를 꼽았다. AI 기반 사이버 위협 확대…AX 시대 클라우드 보편화 우선 시큐아이는 AI기반 사이버 위협과 보안 기술 확대를 예상한다고 밝혔다. 생성형 AI와 거대언어모델(LLM) 기술 활용도가 높아지며 AI 기술은 사이버 공격에도 지속적으로 활용될 것이란 전망이다. 이를 방어하기 위한 보안 기술 전반에 폭 넓게 활용될 예정이다. 공격자는 영상·음성 변조를 통해 허위 콘텐츠를 제작하는 딥페이크 기술을 활용해 사회적 혼란을 초래하고 이를 공격에 지속적으로 악용할 가능성이 높다는 평가가 이어지고 있다. 네트워크 보안 측면에서는 네트워크 취약점을 분석하고 공격 타이밍과 강도를 최적화하는 디도스 공격에서 AI를 활용해 보안 위협을 더욱 고도화할 것으로 예상된다. 보고서는 보안 기업이 AI 기술을 새로운 보안 위협 대응의 핵심 도구로 활용할 것으로 전망했다. AI는 방대한 데이터를 신속하게 분석해 인간이 놓치기 쉬운 취약점을 탐지하고, 기존에 알려지지 않던 공격 패턴을 학습해 알려지지 않은 위협을 방어할 수 있을 전망이다. AX 시대를 맞이해 복잡한 시뮬레이션과 대규모 데이터 처리를 위해 클라우드 활용은 보편화될 것이란 전망도 나왔다. 퍼블릭 클라우드와 프라이빗 클라우드를 동시에 사용하고, 다양한 퍼블릭 클라우드 공급자를 이용하는 하이브리드 멀티클라우드 환경은 플랫폼별 특성을 활용해 가용성, 비용 효율성, 성능을 최적화할 수 있다는 평가 때문이다. 보고서는 기존 IT 인프라에서 클라우드로의 이동은 클라우드 내 컨테이너, 마이크로서비스 아키텍처, 서버리스 아키텍처 등 무분별한 확장을 겪을 것으로 전망했다. 이에 공격 표면은 지속적으로 확대될 것이다. 클라우드 복잡성으로 섀도우 IT 환경이 발생할 것이며 이로 인해 데이터 유출 등 침해사고의 위험이 증가할 수 있다고 예측했다. 시큐아이는 이런 위협에 대응하기 위해 멀티 클라우드 환경 전반에 대한 위협과 취약점에 대해 우선 순위를 지정하고 관리해야 한다고 주장했다. 사고 발생 시, 체계화 된 플레이북을 지정해 피해를 최소화해야 한다고 덧붙였다. 망분리 규제 완화 시작…"지금은 제로 트러스트 원년" 보고서는 앞으로 망분리 규제 완화와 제로 트러스트 모델 강화가 보안 중심축을 이룰 것으로 예측했다. 앞서 정부는 망분리 규제를 완화하고 다층보안체계(MLS)를 도입해 사회 전반에 AI와 클라우드를 적극적으로 활용할 수 있도록 장려할 계획이라고 밝힌 바 있다. MLS는 업무 시스템을 중요도에 따라 기밀(S), 민감(S), 공개(O) 등급으로 분류하고, 이에 맞춰 차별화된 보안을 제공하는 방식이다. 현재 MLS 용어는 N²SF로 변경됐다. N²SF는 중요도 높은 시스템은 강화된 보안을 적용하고, 공유가 가능한 데이터는 효율적인 업무 환경을 위해 자유롭게 활용할 수 있도록 하는 것이 핵심이다. 등급별 보안 대책을 충족하는 시스템은 인터넷 망에 연결되며, 외부 AI와 클라우드 서비스와 연동이 가능하다. 이에 보고서는 망분리 규제 완화가 금융권을 포함한 여러 산업 분야에서 보안 대책의 변화를 초래할 것으로 봤다. 기술 활용의 효율성을 높이면서도 보안 수준을 강화하는 방향으로 발전할 것이다. 제로 트러스트 모델의 도입이 동시에 가속화 될 것이란 전망도 나왔다. 망분리 규제 완화로 인해 내부와 외부 간의 보안의 경계가 확장하면서 보안 위협의 종류와 공격 표면도 넓어져서다. 시큐아이는 차세대 방화벽 '블루맥스 NGF'와 '블루맥스 IPS'에 머신러닝 기능을 탑재해 이에 대응하고 있다. 해당 솔루션은 도메인네임시스템(DNS) 보안 강화와 악성 파일 탐지에 활용된다. 또 시큐아이 위협 분석 센터(STIC) 내 머신러닝 기능과 연계돼 정기적인 스마트 업데이트를 거쳐 최신화 된 위협 정보를 반영하고 있다. 시큐아이는 자체 역량을 활용한 위협 분석 및 대응 플랫폼을 이미 개발 완료한 상태다. 이를 올해부터 고객 보안 업무에 적용할 계획이다. "융복합 사이버 공격 늘 것…공급망 보안 필수" 랜섬웨어와 디도스 하이브리드 공격이 한층 진화할 것이란 전망도 이어졌다. 특히 핵티비스트와 같은 적대 세력 활동이 활발해지면서 금전적 목적이 주였던 공급망 공격 양상이 변화할 것이란 예상도 나왔다. 보고서는 사이버 위협에 대한 진입 장벽이 한층 더 낮아짐과 동시에 공격자들이 디도스 공격으로 서비스를 마비시키고, 그 후 랜섬웨어를 침투시키는 하이브리드 공격을 활용할 가능성이 늘어날 것으로 봤다. 이런 공격 방식은 데이터 암호화, 금전 요구, 추가적인 디도스 공격에 대한 협박 등과 결합해 2중, 3중의 피해를 초래하고 피해 복구를 더욱 어렵게 만들 수 있다. 피해를 예방하고 최소화하기 위해서 보안 장비에 대한 정기적인 취약점 점검 필요성이 늘어날 전망이다. 보고서는 국가 주도 공급망 공격이 금전적 목적뿐만 아니라 정치적 목표를 동시에 달성하는 전략적 공격 유형으로 자리잡을 가능성이 높다고 주장했다. 공급망 공격은 소프트웨어(SW)나 하드웨어(HW)의 개발·배포 과정에 악성코드를 삽입해 피해가 연쇄적으로 확산하는 방식이다. 이런 위험을 사전에 방지하기 위해서는 제품을 개발하고 설계할 때 보안을 내재화하는 것이 중요하다는 평가가 이어지고 있다. 기업과 조직은 보안을 초기 단계부터 핵심 요소로 삼아 시스템과 서비스를 구축해 사이버 위협에 대한 대응력을 강화해야 한다는 설명이다. 정삼용 시큐아이 대표는 "AI와 결합한 보안 위협은 점점 더 정교하게 발전할 것"이라며 "급변하는 보안 환경 위협을 사전에 차단할 수 있는 차세대 기술과 솔루션을 지속적으로 선보일 것"이라고 강조했다.

2025.01.06 17:18김미정