국정원 보안 통제 항목 176→260여개로...N2SF 정식 지침 공표
국내 사이버보안 산업에 큰 영향을 미칠 것으로 보이는 국가망보안체계(N2SF, National Network Security FRAMEwork) '지침(가이드라인) 1.0'이 공개됐다. 국가정보원(국정원)이 마련한 것으로, 올초 초안(드래프트) 공개에 이어 정식 버전이 마침내 공표된 것이다. 이에 따르면, 보안 통제 항목에 대한 세부 항목이 기존 170여개에서 260여개로 늘었다. 국정원은 9일 서울 강남구 삼성동 코엑스에서 개최한 글로벌 사이버안보 행사 '사이버 서밋 코리아(Cyber Summit Korea, CSK 2025)'에서 '국가 사이버안보 정책'을 발표, 이의 일환으로 N2SF 가이드라인 정식 버전 1.0을 공개했다. 김소정 대통령실 사이버안보비서관이 사회를 보며 발표 행사를 진행했다. N2SF는 공공데이터 활용 촉진과 보안성 확보를 위한 국가망보안체계를 말한다. 기존의 획일적 망분리(물리·논리적 격리) 정책을 대체 및 보완하는 것으로, 업무와 데이터 중요도에 따라 보안 수준을 차등 적용한 정부의 새 보안 정책이다. 앞서 국정원은 지난해 하반기 첫 개최한 'CSK 2024'에서 N2SF 로드맵을 처음 공개한 바 있다. 이어 올 1월 초안을 발표, 정식 버전 공개를 위한 의견수렴과 실증을 해왔다. 국정원은 N2SF를 정책을 ▲N2SF 고도화 및 확산 ▲클라우드 보안정책 개선 ▲IT기술 활용 확대 등 3가지 큰 축으로 개선해 나갈 계획이다. N2SF 고도화 및 확산을 위해 국정원은 N2SF 가이드라인 내용을 보강하겠다는 계획이다. 먼저 N2SF 가이드라인 내 개념 설명에 대한 부분을 보강하고, 이해가 용이하도록 단계별 활동을 요약해 정책적인 기반을 강화한다. 또한 N2SF를 적용했을 때 어떤 산출물이 나올지에 대한 이전 양식들을 표준화했다. 이 뿐만 아니라 미국 NSA 등 글로벌 스탠다드를 반영해 CDS(크로스 도메인 솔루션)에 대한 개념도 새로 추가했다. 아울러 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 크게 6개 영역으로 구분되는 보안 통제 항목에 대한 세부 항목들도 기존 170여개에서 260여개로 확대했다. 보안 통제 항목에 대한 설명도 보완했다. 이 외에도 특허청, 국가과학기술연구회, 한국은행 등 실제 공공기관이 N2SF를 도입·적용한 사례에 대해서도 발표했다. 국정원 보안 정책 관련 관계자는 "드래프트 버전의 N2SF 가이드라인은 공공기관에만 제한적으로 공유했는데, 이번 1.0 버전은 대외 공개로 전환할 계획"이라며 "내년에는 과학기술정보통신부와 합동으로 N2SF 시범사업을 추진할 예정이고, 이같은 내용이 내년도 정부 예산안에도 반영돼 있다. 국회 심의 후 예산이 확정될 예정"이라고 설명했다. 클라우드 보안 정책 완화로 N2SF 고도화 클라우드 보안정책과 관련해서도 개선을 통해 N2SF 기반 AI 등 신기술 및 공공데이터의 원활한 활용을 지원한다. 우선 국정원은 공공용 민간 클라우드에 대한 보안 기준을 완화하기로 했다. 기존 공공 클라우드는 상·중·하 등급제가 적용되는데, 등급별로 보안 기준이 차등화돼 있다. 이를 개선해 중·하 등급의 경우 보안 기준을 완화해 민간 클라우드 사업자의 공공 진입 요건을 완화할 계획이다. 또 민감 정보의 민간·공공 공동활용 클라우드를 정립한다. 분야별 소관기관과 관련 민간이 민감한 공공데이터를 공유하는 영역별 클라우드를 정립해 공공 데이터 활용도를 높인다. 이 영역별 클라우드는 외부에서도 민감 정보에 대해 공공과 민간이 동시에 활용할 수 있도록 차별적인 보안 요구를 마련할 계획이다. N2SF가 AI 등 신기술 활용을 위해 획일적인 망분리에서 차등 보안 기준을 적용하는 체계로 변경하는 것이므로, AI, 클라우드 등 신기술의 이용 활성화를 위한 보안 정책 고도화에도 나선다. 국정원은 "특정 제조사의 하드웨어와 결합되는 등 특화된 클라우드의 경우 도입에 제약이 없도록 국정원이 별도의 요건을 마련해서 정책을 세분화하겠다"며 "AI가 다양해지고 있는데, AI의 다양성에 따른 유형별 보완 대책도 마련하고, 2023년에 최종 업데이트된 생성형 AI활용 보안 가이드라인에 반영해서 올해 12월까지 최종 개정안을 마련 하겠다"고 밝혔다. '플러그인 보안 SW' 더 이상 안 깔아도 된다 정부 웹사이트에서 플러그인 방식의 보안 소프트웨어를 별도를 설치해야 하는 불편한 경험을 덜어낼 수 있을 전망이다. 국정원은 정부 웹사이트 공동인증서용 보안 소프트웨어에 대한 개선도 추진한다. 보안 등의 목적으로 설치된 플러그인 소프트웨어가 오히려 취약점이 발견되면서 해킹 사고가 지속해서 발생하고 있는 만큼 보안 소프트웨어 설치 없이 공동인증서를 활용하도록 인증 방식을 개선하겠다는 것이 골자다. 국정원은 "플러그인 방식의 보안 소프트웨어 없이도 인증 방식 개선을 통해 보안성과 편의성 등 '두 마리 토끼'를 잡는 것이 목적"이라고 설명했다. 구체적으로 클라우드 인증서, 브라우저 인증서, 자바 스크립트(Java script) 모듈 등을 활용해 불필요한 플러그인 보안 소프트웨어 설치를 없앴다. 국정원은 국민 이용이 많은 대민 서비스에 이같은 체계를 시범 적용한 이후 모든 공공 부문으로 확산한다는 계획이다. 이후 점진적으로 민간 확산도 유도할 방침이다. 아울러 '국가정보보안기본지침'내에 플러그인 소프트웨어 설치 제한 규정을 신설하고, '사이버보안 관리실태평가지표' 등에도 이같은 내용을 반영할 계획이다. 이행력을 강화해 국민 편의성을 보다 빠르게 높이기 위한 조치로 해석된다. 또한 국정원은 사이버 보안 기능을 클라우드 서비스로 제공하는 SECaaS(클라우드 기반 보안서비스)의 확산을 위해서도 보안 요건을 정립해 SECaaS의 공공부문 도입 확산을 유도한다. 이에 공공부문에서 클라우드 기반 지능형 위협탐지, IAM(사용자·권한) 및 원격 브라우저 격리(RBI) 등 다양한 보안 서비스 도입이 가능해질 것으로 국정원은 전망했다. 공공기관의 경우 보안을 위해 비인가 무선 인터넷(WiFi) 도입이 엄격하게 금지되고 있는데, 이런 규제도 완화한다. 유선망 기반 업무환경을 무선망 기반 인프라로 전환하기 위함이다. 재난·안전 현장 정보 등 공개(Open) 등급의 업무 보안 요건도 완화된다. 재난·안전 현장에서 공무원들이 스마트폰을 활용해 O등급 데이터를 처리할 수 있도록 보안 요건을 완화하는 것이 골자다. 국정원이 그리는 차세대 보안 생태계 'N2SF' N2SF는 전산망을 기밀(C·Classified), 민감(S·Sensitive), 공개(O·Open) 등 세 가지 등급으로 분류해 보안 통제를 차등 적용하는 망보안 체계다. 업무별로 보안 수준이 다르기 때문에 획일적으로 망 분리를 시키는 것이 아니라 업무 중요도에 따라 서로 다른 보안 체계를 적용하는 것이 핵심이다. 국정원은 신규 보안 정책인 N2SF의 빠른 안착과 확산을 위해 N2SF 적용 관련 설계 및 보안 대책 요청 시 적극 지원한다는 방침이다. 또 가이드라인에 수록된 정보서비스 모델을 지속 발굴하고 수시로 업데이트해 나갈 계획이다. N2SF를 사이버보안 실태평가 지표에 반영하고 추가적인 정보보안 활동으로 판단해 가점을 부여하는 등 확산을 유도한다. N2SF 관련 보안 업체에 대해서는 보안 제품 및 서비스 연구·개발을 당부하기로 했다. 한편 이날 국정원은 N2SF뿐 아니라 ▲범국가 양자내성 암호체계 전환 종합 추진계획 ▲모빌리티 분야 보안체계 정립 ▲우주시스템 사이버보안 가이드라인 정립 등 부상하는 보안 위협에 대한 대책들을 내놨다. 국정원 관계자는 "AI 대전환 물결 속에서 새로운 사이버 위협에 선제적으로 대응하고 기술혁신에 기여하겠다"고 밝혔다.
