국정원, 망분리→N2SF '대체' 내달 시행…새 지침 발표
국가정보원이 오는 5월부터 새로운 '국가 사이버보안 기본 지침'을 시행한다. 현 국가정보보안 기본 지침을 개정한 것으로, 급변하는 정보기술(IT) 환경을 반영했다. 지침에는 국가 망보안 체계(N2SF) 명문화, 보안 인력 확대 의무화, 강제 설치 보안 소프트웨어 최소화 등의 내용이 담겼다. 국정원 사이버 정책 담당관은 지난 17일 서울 강남구 코엑스에서 개최한 '제32회 보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 이같은 내용의 지침 개정 계획을 발표했다. 국정원은 이미 초안을 각급 기관에 공문으로 보내 의견을 수렴 중이며, 이르면 5월 초부터 이를 시행할 예정이다. 먼저 국정원은 N2SF 시행에 따라 근거를 갖고 공공기관이 업무를 추진할 수 있도록 세부 조항을 신설했다. 국가 사이버 보안 기본 지침 제3장 1절 내용이다. 기존에는 공적 기관의 경우 업무망과 인터넷 망을 분리해야 한다는 망분리 조항이 있었으나 이 내용이 삭제, N2SF 내용으로 대체됐다. N2SF는 공공기관 데이터를 중요도에 따라 보안 통제를 차등적으로 적용하는 제도다. 데이터를 기밀(C), 민감(S), 공개(O) 등 3가지로 분류해 각기 다른 보안 통제 항목을 적용한다. 기존 망분리 제도를 완화하면서도 클라우드나 인공지능(AI) 등 신기술을 공공부문에서도 적용할 수 있도록 국정원 주도로 지난 9월 가이드라인이 배포됐다. 아울러 기존 정보보안 담당 인력 10% 이상 확보, 정보화 예산 대비 15% 이상 보안 예산 운영 '권고'에서 해당 사항을 '의무화'하는 방향으로 지침을 개편할 예정이다. 각급 기관에서 최대한 보안 예산을 집행할 수 있도록 제도화한 것이라는 게 국정원의 설명이다. 또한 명확한 인증 체계를 사용할 수 있도록 원격 근무자 식별 인증을 위한 생체 기반 인증 등 서로 다른 인증 방식을 다중 적용할 것을 명시했다. 다중 속성 인증(MFA) 도입 활성화를 통해 원격 근무 등 사용자 인증이 필요한 상황에서 보다 강력한 인증 체계를 활용할 것을 명시했다. 공인인증서 패스워드 입력을 위해 강제로 설치해야 하는 보안 소프트웨어도 최근 취약점으로 작용하고 있는 만큼 이 부분을 최소화하기 위한 내용도 지침에 포함됐다. 각급기관과 금융권을 시작으로 대민 서비스에서도 강제 설치 보안 소프트웨어를 점진적으로 최소화해 나갈 예정이다. 이 외에도 AI 시스템 구축과 민간 클라우드 도입에 관한 보안 대책 신설, 암호 자재 장비 운영 근거 마련, 단순 사업자 변경 및 임대 기한 종료 등의 경우 보안성 검토 생략 등의 사항을 지침에 담았다. 국정원 사이버 정책 담당관은 "AI 환경이 급변하면서 규제가 기술 대비 지체돼서 반영되면서 공공 보안 대책 마련이 지연되며 대응이 늦어지는 점을 인지하고, 심의를 거쳐 개정안을 마련했다"며 "향후 혹은 매년 필요한 사항이나 급히 반영해야 할 사항이 생기면 지속적인 개정을 통해 새로운 보안 위협에도 대응할 수 있도록 할 것"이라고 밝혔다.
