"보안 시장 새 질서"...N2SF 지침 1.0 발표 눈앞
국가정보원이 발표하는 국가망보안체계(N2SF, National Network Security FRAMEwork) '지침(가이드라인) 1.0' 정식 버전 발표가 임박했다. N2SF는 공공데이터 활용 촉진과 보안성 확보를 위한 국가망보안체계를 말한다. 국정원은 작년 하반기 자체 보안 행사 '사이버 서밋 코리아(CSK)')에서 이의 로드맵을 처음 공개했다. 이어 올 1월 초안을 발표, 정식 버전 공개를 위한 의견수렴과 실증을 해왔다. N2SF는 기존의 획일적 망분리(물리·논리적 격리) 정책을 대체 및 보완하는 것으로, 업무와 데이터 중요도에 따라 보안 수준을 차등 적용한 정부의 새 보안 정책이다. AI·클라우드·SaaS 등 신기술 활용 확대와 데이터 활용 요구가 커지면서, 기존 망분리 방식이 업무 효율과 기술 도입을 가로막는다는 지적이 많았는데 이를 해결하기 위해 나왔다. 국정원이 오는 8~11일 여는 '2025 CSK'를 개최하는데 이 행사 기간중 정식 지침 1.0을 발표할 것으로 점쳐진다. 국내 보안시장에 새로운 질서를 불러올 NS2SF는 무엇이며 시장에 어떤 파급효과를 가져올 지를 두 차례 조명한다. ■ 국정원, 2024년 CSK서 로드맵 공개하고 올 1월 시안 발표 국가망보안체계(N²SF) 핵심 개념은 정부 전산망을 업무 중요도에 따라 기밀(Classfied)·민감(Sensitive)·공개(Open) 등급으로 분류, 보안통제 6개 항목을 차등 적용해 보안성·데이터 공유 활성화를 동시 충족하는 것이다. N2SF는 보안성과 데이터 활용성을 모두 높일 수 있는 '등급' 기반의 보안 체계를 말한다. 정식 가이드라인에는 이미 발표된 가이드라인에 보안업계 의견이 대폭 반영된 것으로 알려졌다. 국정원이 올해 초 발표한 N2SF 가이드라인 초안에 따르면 N2SF는 전산망을 기밀(C·Classified), 민감(S·Sensitive), 공개(O·Open) 등 세 가지 등급으로 분류해 각 등급에 따라 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 크게 6개 영역으로 구분되는 보안 통제를 차등 적용하나. C등급은 군사, 국가안보 등 아주 민감한 정보를, S등급은 개인정보나 내부 자료 등 중요한 업무 정보를, O등급은 보도자료 등 외부에 비교적 공개된 업무가 포함된다. 각 업무정보의 등급 분류는 정보공개법, 공공데이터법 등 관련 법을 따른다. 업무별로 보안 수준이 다르기 때문에 획일적으로 망 분리를 시키는 것이 아니라 업무 중요도에 따라 서로 다른 보안 체계를 적용하는 것이 핵심이다. 업무 효율은 높이고, 유출을 막아야 할 업무 정보들은 외부로 빠져나가지 않게 분리해놓음으로써 보안성과 데이터 공유 활성화를 동시에 충족하는 것이 목표다. 기존에는 국가 및 공공기관의 어떤 업무든 인터넷 망과 완전히 분리하는 것이 효과적이었다. 망 분리를 통해 외부 침입을 원천적으로 차단할 수 있기 때문이다. ■ AI, 클라우드 등 신기술 속속 등장으로 기존 보안 정책에 변화 그러나 최근 원격 근무, 클라우드, 인공지능(AI) 도입 등으로 업무 환경이 빠르게 변화하고 있는 데 반해, 기존 망분리 체계는 내부망과 외부망 간의 데이터 이동 및 공유에 일종의 '수고로움'이 들었다. 예컨대 이미 공개된 데이터를 외부에서 내부망으로 옮길 때에도 인가된 USB를 사용하거나 특정 보안 절차를 거쳐야 했고, 업무 중 생성형 AI를 사용하고 싶어도 망이 분리돼 있어 인터넷에 접속할 수 없기 때문에 AI의 업무 활용에 한계가 있었다. 이에 AI·클라우드 등 새로운 IT 기술이 활용돼야 하는 업무 환경에서 효율이 떨어지는 문제를 개선하기 위해 국정원이 해결책을 제시한 것이다. 기존 망 분리 체계에서 내부망과 외부망에 각각 별도의 서버, 네트워크 장비 등을 구축해야 하는 비용상의 문제나 이중으로 관리해야 하는 인력적인 부담도 낮춘 방안인 셈이다. ■ 국내 보안 시장에도 큰 영향...새로운 질서 만들어질 듯 NS2F 시행은 국내 보안시장에 큰 영향을 미칠 전망이다. 우선 제품 및 솔루션 수요 구조 변화다. 전통적 망분리 하드웨어(망분리 단말·물리적 분리 솔루션) 수요는 줄어들고, 대신 데이터 분류·접근통제(데이터 DLP), ID·접근관리(IAM/Zero Trust), CASB, 보안 게이트웨이, 클라우드 보안(CSPM/CWPP), 로깅·SIEM/SOAR 등 소프트웨어·플랫폼 계열 수요가 크게 늘어날 것으로 보인다. 서비스와 컨설팅, 실증사업 기회도 확대된다. 기관별 등급분류, 위협모델링, 적절성 평가가 필수라서 보안 컨설팅·시범사업·통합관제·매니지드서비스(MSSP) 사업이 활성화될 전망이다. 초도 실증사업·파일럿 발주는 이미 진행돼왔다. 국내 보안시장에 새로운 질서가 형성되는 반면 중소·전통 보안업체에게는 불확실성이 커졌다. 요건 적응이 느린 업체는 단기적으로 타격을 받을 수 있는데, 반면 빠르게 N2SF 기준에 맞는 제품·통합 역량을 갖춘 기업은 새로운 성장 기회를 잡을 것이다. 이외에 실시간 연계(스트림), 파일 연계, API 기반 안전 연계 등 다양한 연계 방식에 대한 솔루션 및 검증 수요가 커지고 연계 보안(검증·암호화·무결성 보장) 능력이 경쟁력을 좌우하는 중요한 요소가 될 전망이다. 정부 보안 정책 패러다임이 N2SF 도입으로 '완전한 망 분리'에서 '유연한 보안'으로 전환되면서 정보 활용이 증대되고 새로운 서비스나 공공기관과 외부 기업의 협력도 늘어날 것으로 기대된다. 보안 솔루션이나 서비스를 도입하려는 수요가 늘어나면서 보안 투자가 확대되고 전체적인 보안 시장 성장세도 예상된다. 보안 서비스 및 솔루션의 수요가 높아짐에 따라 보안 업체들 간 경쟁도 심화하면서 보안 기술력도 경쟁을 통해 높아질 거라는 예측도 있다. 보안업계 관계자는 "N2SF로의 전환으로 기관발 보안 솔루션 수요가 높아지면 솔루션 공급사들끼리 경쟁하는 과정에서 기술력도 한층 발전하는 계기가 될 수 있을 것"이라고 예상했다. 염흥열 순천향대 정보보호학과 명예교수도 "N2SF 도입으로 기존 공공 영역에서 필요하지 않았던 망 연계 솔루션 외 제로트러스트 기반의 모니터링 제품 및 서비스, 보안 정책 결정을 위한 센서 정보 수집 솔루션 등 다양한 수요가 창출될 수 있다. 이 과정에서 기술력을 끌어올리기 위한 시도가 이어지면서 경쟁력이 한층 강화될 것"이라고 예상하며 "정보보호 업체 입장에서는 새로운 시장이 열릴 가능성이 있고 이를 잘 활용하면 전체적인 보안 시장의 성장세도 견인할 수 있을 것으로 보인다. 나아가 글로벌 시장에서도 시범 사업 등을 통해 이른 근거로 해외 수요를 개척할 수 있을 것"이라고 진단했다.
