검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'N2SF'통합검색 결과 입니다. (20건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

잇단 대형 해킹사고, 정부 '그립'은 강해져…보안 B+학점

지난해 6월 출범한 이재명 정부는 '진짜 성장'을 내세웠다. AI로 경제·사회·기술 대전환을 꾀해 국가발전과 국민행복이 선순환되는 시대를 열겠다는 것이다. 지난해 하반기부터는 30대 선도프로젝트가 가동되기 시작했으며 각 경제·산업 분야에서 AI 대전환이 진행 중이다. 일단 스타트는 좋다. AI 붐을 등에 업고 코스피 7000 시대가 열렸다. 하지만 미국·이스라엘-이란 전쟁으로 인한 고유가·고물가·고환율 리스크가 AI 대전환의 발목을 잡고 있다. 지디넷코리아는 창간 26주년을 맞아 이 격변의 시점에 있는 대한민국 산업 현장을 진단하고, 각 분야 전문가들과 함께 'AI 시대, 이재명 정부 1년'을 평가했다. [편집자주] 2025년 4월, 대한민국은 SK텔레콤 유심(USIM) 정보 유출이라는 초대형 보안사고가 터졌다. 이로부터 약 40여일 후인 작년 6월 4일 이재명 정부가 출범했다. 새 정부 출범 후에도 대형 보안사고가 잇달았다. 이재명 정부 출범 5일 후인 작년 6월 9일 예스24가 랜섬웨어 공격을 받아 홈페이지·앱·전자책·티켓 서비스가 대규모로 마비됐다. 이어 작년 8월 말~9월 초 KT의 불법 초소형 기지국(펨토셀)을 악용한 해킹으로 가입자 2만2227명의 개인정보가 유출되는 사고도 일어났다. 예스24와 KT 이후에도 롯데카드, SGI서울보증, 쿠팡에서도 태풍급 보안사고가 연달아 일어났다. 대형 보안사고가 이어지면서 이재명 정부는 규제 '그립'을 세게 쥐었다. 민간 사이버보안을 책임진 과기정통부와 개인정보보호 파수꾼인 개인정보보호위원회(개보위)가 잇달아 규제 강화책을 내놓았다. 올 1월 말 과기정통부는 20개 주요 실행과제로 이뤄진 '제2차 정보보호 종합대책'을 발표했다. 개보위는 지난 12일 대통령 주재 국무회의에서 '예방 중심 개인정보 관리체계 전환 계획'을 보고, 주요 공공시스템과 대규모 개인정보를 처리하는 약 1700개 고위험 시스템을 정부가 직접 정기점검을 하겠다고 선언했다. 이재명 정부는 지난해 공약집 등을 통해 사이버위협 대응 방안으로 ▲망 중심에서 데이터 중심의 정보보호 체계 전환 ▲침해사고 발생 시 명확한 책임 부과 ▲정보보호 공시제도 강화 추진 등을 제시한 바 있다. 일각에서는 정부의 강력한 보안 정책 드라이브로 우리나라 사이버 보안 펀더멘털이 한층 단단해질 것이라고 기대한다. 하지만 현장의 고질적인 구조적 결함을 먼저 해소하지 않은 채 밀어붙이기식 의무화만 강조한다면 산업계의 반발과 혼선은 불가피하다. 오랜 기간 체질 개선을 이루지 못한 사이버 보안 분야는 정부의 강력한 드라이브에도 불구하고 개선해야 할 부분이 포착됐다. 본지가 이재명 정부 출범 1주년을 맞아 정보보호 분야 산학연 전문가 50명에게 물은 결과, 평균 B+ 점수가 나왔다. 사이버보안과 개인정보보호 강화를 위한 잇달은 조치를 환영하면서도 "기업과 기관만 옥죄이는 것 아니냐"는 비판적인 시각과 함께 기업은 물론 보안 생태계의 한 축을 이루는 개인과 국가를 둘러싼 보안 생태계 전반이 건강해져야 한다는 것이다. 국가 망분리 대전환 'N2SF' 첫발…"정부 도입 의지 확인" 이달 초부터 국가정보원의 '국가 사이버보안 기본 지침'이 개정·시행됐다. 정보보안 체계가 레거시 IT를 넘어 AI, 클라우드 등 첨단 디지털 환경으로 전환함에 따라 선제적인 위험 관리 체계를 제도화하겠다는 것이 지침의 골자다. 가장 큰 변화는 '국가 망보안 체계(N2SF)' 시행이다. 개정에 따라 기존 지침 제 40조에 명시되었던 내부 업무망과 인터넷망의 일률적 분리 의무가 사라졌다. 본격적인 N2SF가 시행된 것이다. 그간 업무망(내부망)과 외부망은 물리적으로 분리돼 있어 외부 오픈소스나 인공지능(AI), 클라우드 등 신기술을 활용하는 데 제약이 있었다. 특히 코로나19 시기 재택 근무가 잦아지면서 외부망 접근 필요성이 대두됐고, 생성형AI 등장으로 공공 부문 디지털 혁신이 필요해졌다. 국가정보원 주도로 N2SF로 보안 패러다임을 전환할 것을 지난해부터 가이드라인 발표 등 사전 작업을 진행했다. N2SF는 기존 물리적 망분리 원칙을 데이터 중요도에 따라 차등적인 보안 시스템을 적용하는 체제로 전환하는 프레임워크다. 업무정보를 기밀(C)·민감(S)·공개(O) 등급으로 분류하고, 등급에 따라 도메인·정보시스템·보안통제를 차등 적용하도록 제시했다. 공공정보의 보안성과 활용성을 높이겠다는 목적이다. 그러나 현장에서는 어떤 데이터를 S 또는 O로 분류해야 하는지에 대한 세부 사례와 적용 기준이 모호하고, 일일이 적용하는 데 어려움이 있다는 지적이 제기됐다. 지난해부터 정부가 1년 가까이 추진하고 있지만 현장에서는 혼선이 반복되고 있는 것이다. 그럼에도 전문가들은 N2SF를 국가 최상위 보안 지침에 반영하는 등 당국의 노력은 고무적이라고 평가했다. 최영철 SGA솔루션즈 대표는 "지난해까지만 해도 N2SF에 대한 관심은 일부 공공기관에 그쳤지만, 5월부터 국가 사이버보안 기본 지침에 N2SF가 반영되면서 적용 대상이 모든 공공기관으로 확대됐다. 100명 중 20명만 관심을 가졌다면 이제는 100명 중 100명 모두 N2SF에 관심을 갖게 된 것"이라며 "국가정보원에서 C·S·O 등급 분류 체계에 대한 가이드라인도 마련하는 등 세밀한 준비가 뒷받침된다면 향후 N2SF 안착을 긍정적으로 보고 있다. 현 시점에서 N2SF 관련 정책 도입 현황은 'A' 등급으로 평가할 수 있겠다"고 밝혔다. 다만 최 대표는 "이제 본격적으로 시행하는 제도인 데다 예산 투입과 정부 대응이 중요한 분야인 만큼 향후 현장에서 요구하는 가이드라인이 늦게 발표되거나 정부의 지원이 미흡하다고 판단되면 N2SF 도입에 대한 개인적인 평가는 낮아질 것"이라고 말했다. 이재형 옥타코 대표는 보안업계 현장에서 N2SF 관련으로 겪는 현실적인 어려움에 대해 설명했다. 이 대표는 "보안 현장에서 N2SF 도입 시 C·S·O 등급 분류를 가장 어려워한다"며 "예를 들면 복지 분야 데이터는 상당히 민감한 데이터가 많은데 C·S·O 등급 분류와 법률 간 일부 맞지 않는 부분이 있다. 이처럼 C·S·O 등급 분류가 상대적으로 복잡한 분야에 있어 예외 조항 등 가이드라인이 더 세밀하게 짜여질 필요가 있다"고 말했다. 그는 "현장에서 겪는 어려움이 가이드라인에 조속히 반영돼야 N2SF 체계가 빠르게 안착할 수 있을 것"이라며 "자산 파악 후 데이터 등급 분류하고, 보안 대책을 취하는 일련의 과정들을 어떻게 처리해야 하는지 아직도 어려워 하는 조직이 많다"고 N2SF 도입 을 B-로 평가했다. 보안 인증·공시 '자율→강제' 전환…'형식주의' 탈피 현재 개정 추진 중인 정보보호산업의 진흥에 관한 법률(정보보호산업법)' 시행령안에 따르면 내년부터 정보보호 공시 의무 대상이 코스피·코스닥 전체 상장사로 확대된다. 기존에는 매출액 3000억 원 이상 상장사가 대상이였다. 정보보호 공시제도는 정부가 국민의 안전한 인터넷 이용과 기업 정보보호 투자 활성화를 위해 일정 규모 이상 기업을 대상으로 시행한다. 정보보호 투자와 전담 인력, 관련 활동 등 기업의 정보보호 현황을 의무 공개하는 제도다. 국민에게 기업의 보안 수준을 투명하게 공개해 자율적 경쟁을 유도하기 위한 제도다. 과학기술정보통신부(과기정통부)에 따르면 올해 총 693개사가 정보보호 공시 의무 대상으로 확정됐다. ISMS-P 인증 역시 의무 대상을 늘린다. 지난 4월 개인정보보보위원회(개인정보위)와 과기정통부는 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 통해 ▲주요 공공시스템운영기관 ▲이동통신사업자 ▲본인확인기관 ▲대규모 개인정보처리자 등을 대상으로 ISMS-P 인증 제도를 의무화 했다. ISMS-P 인증을 받은 기업이 침해사고를 당하면서 자율에 맡겼던 인증 제도의 실효성이 없다는 지적이 이어짐에 따라 강제성을 부여한 것이다. 기업들이 정보보호 분야에 얼마나 투자하고 있는지 모든 국민이 알 수 있게 함과 동시에 ISMS-P 인증을 획득해야 하는 기업을 늘림으로써 자체적으로 보안에 더욱 투자를 확대할 수 있도록 조치한 것으로 풀이된다. 전문가들은 민간의 정보보호 투자 활성화를 위한 ISMS-P 인증 의무화, 정보보호 공시 의무 대상 확대는 긍정적이지만, 정부의 투자 확대 의지 또한 뒷받침돼야 한다고 주장했다. 한국정보보호학회 회장을 맡고 있는 김호원 부산대 컴퓨터공학과 교수는 "지난해 초까지만 하더라도 ISMS-P 인증 위원으로 활동했지만 최근 그만뒀다. ISMS-P 인증이 너무 형식적으로 흘러간다는 생각이 들었다. 3월께부터 한 번도 평가위원에 합류하지 않았다"면서도 "그러나 최근 정부에서 ISMS-P 인증 강화를 통해 주관기관인 한국인터넷진흥원(KISA) 등 정보보호 관련 기관에 힘을 실어준 점은 긍정적으로 평가할 수 있다"고 말했다. 이어 김 교수는 "그러나 이재명 정부가 '독자 AI 파운데이션 모델 사업'에만 너무 많은 관심이 몰려 있고, AI 모델 및 AI를 악용한 공격을 방어할 보안 분야에는 예산 등 정부의 투자 의지가 부족하다"면서 "AI 보안 이슈가 계속해서 부각되는 상황에서 정부가 보안 분야에 보다 적극적으로 예산을 투입할 필요가 있다"며 B로 평가했다. 이용준 극동대 해킹보안학과 교수는 "ISMS-P 인증 실무 기관의 역량이 중요한데, 인증 의무화 대상 확대로 추가되는 기업 수가 300개 이상이다. 기존 인증기업까지 포함해 심층 점검을 진행하기 위해서는 많은 리소스가 투입돼야 하는데, 현실성이 전제돼야 한다"며 "추가로 심사원 역량 강화와 기술적 점검 도구에 대한 지속적인 개선이 필요하다"고 강조했다. '매출액 10%' 초강수 채찍…심도 있는 분석 미흡 보안 패러다임 전환, 보안 공시·인증의 의무화에도 불구하고 반복적이거나 중대한 침해사고를 입은 기업에 대한 징벌적 과징금 부과도 주목할 만한 대목이다. 앞서 개인정보위는 지난 12일 오는 9월부터 중대한 개인정보 유출 사고를 낸 기업에 매출액의 최대 10%(현행 3%)까지 과징금을 부과하는 '징벌적 과징금' 제도를 시행한다고 밝혔다. 개정안은 반복적이거나 중대한 개인정보 침해 사고에 대한 제재 수위를 대폭 높였다. 적용 대상은 고의 또는 중과실로 3년 안에 같은 유형의 사고를 반복한 경우, 혹은 1000만명 이상 개인정보 유출 피해가 발생한 경우 등이다. 처벌 수위를 높임으로써 기업들이 더욱 경각심을 갖고 보안에 주의를 기울일 수 있도록 하기 위함으로 보인다. 그러나 표면적으로 드러난 사고 대응에만 집중한 제도일 뿐, 심도 있는 분석을 기반으로 정책을 마련했다고 보기에는 어렵다는 지적도 나왔다. 국가정보원 3차장을 지낸 김선희 가천대 스마트보안학과 초빙교수는 "어떤 사고에 대한 분석이 이뤄지고 난 이후 정책을 수립한 것이 아니라, 급한대로 사고에 대응하다 보니 형식적인 제도가 계속해서 나오고 있는 것으로 보인다"며 "국내 기업의 자체 잘못으로 인해 사고가 났으면 과징금을 매출액의 10%가 아니라 더 부과해도 마땅하지만, 외부 침해에 의한 사고면 과징금 기준이 달라야 한다. 이는 기업만의 문제가 아니다. 정부나 다른 이해관계자 등 각 주체의 책임 소재를 명확히 따져본 뒤 기업에 책임을 부과해야 하는데, 일방적으로 사고가 발생하면 기업이 모든 책임을 뒤집어 쓴다"고 말했다. 그는 "보안 투자가 부족하다는 인식 아래 인증, 공시 등을 의무화하고 있는데 정작 규모가 큰 기업들은 보안에 투자를 적게 하고 있지는 않다"며 "문제는 중소기업들인데, 이들은 보안에 투자할 여력도 없고 침해사고가 발생하면 그대로 당할 수밖에 없다. 그럼에도 과징금을 매긴다면 사고가 발생하더라도 어떻게든 숨기려할 것"이라고 부연했다. 김 교수는 매출액의 10%에 달하는 징벌적 과징금 제도를 'B'등급으로 평가했다. 과징금을 부과하는 것뿐 아니라 어떻게 활용할지에 대한 논의도 필요하다는 주장이 제기됐다. 염흥열 순천향대 정보보보학과 명예교수는 "매출액 10%에 달하는 과징금을 어떻게 사용할 지에 대한 논의는 잠깐 부각됐다가 현재 소강 상태"라며 "중소기업이나 사이버보안 분야 발전에 활용될 수 있는 기금 등의 형태로 지원이 이뤄져야 한다"고 강조했다. 이어 염 교수는 이재명 정부가 추진하는 사이버보안 정책이 지난 정부에 이어 다시 기틀을 잡아가는 과정이며, 향후 정책 방향성을 잡아가는지에 주목할 필요가 있기 때문에 당장은 A등급으로 평가했다. '미토스'에 발빠르게 대응한 과기정통부...곧 나올 새 정보보호 대책에 시선 미국 AI 전문기업 앤트로픽이 개발해 지난달 7일 공개한 AI모델 '미토스(Mythos)'가 가공할 보안 능력으로 미국 등 전세계에 경각심을 주고 있다. '미토스'에 대한 우리 정부의 대응책은 빨랐다. 미토스가 정식 발표된 지 일주일후인 지난달 14일 정부는 청와대 국가안보실은 민·관·군 주관 부처에 긴급 대응을 주문했고, 과기정통부는 각 기업 정보보호 최고책임자(CISO)에 AI를 활용한 보안 위협에 주의하고 각사별로 긴급 보안점검을 실시할 것을 당부하는 한편 AI를 활용한 특이 공격 발생 시 한국인터넷진흥원과 상황을 공유할 것을 요청했다. 또 이날 오후 류제명 제2차관 주재로 통신 3사 및 주요 플랫폼사(네이버, 카카오, 우아한형제들, 쿠팡 등) 정보보호 최고책임자와 긴급 현안점검회의를 개최, AI 고도화에 대한 사이버보안 대비태세 점검과 보안 체계 변화 동향을 예의주시하도록 당부했다. 뿐만 아니라 최우혁 정보보호네트워크정책실장도 같은 날 오후 국내 AI 보안전문가와 현안점검회의를 개최, '글래스윙' 프로젝트와 AI 보안서비스의 내용 및 수준, 국내에 미치는 영향 등에 대해 전문가 의견을 청취하고 대응방향 등을 논의했다. 류 차관은 지난달 16일 서울 삼성동 코엑스에서 열린 '제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 축사를 하며 미토스((Mythos)에 대해 "우리 사회에 새로운 숙제를 줬다"며 또 한번 보안 주의를 환기시키는 한편 20일에는 한 행사에서 "글래스윙 프로젝트 참여를 타진중"이라고 밝혔다. '글래스윙' 프로젝트는 50개 안팎 미국 기업 및 기관에만 '미토스'의 보안 기능을 베타 테스트할 수 있는 권한을 준 것을 말한다. 이어 이번달 8일에는 배경훈 부총리가 직접 주재한 미토스 대응 산학연 보안전문가 간담회가 열렸다. 당시 간담회에는 SKT, 업스테이지, 모티프테크놀로지스 등 독자 파운데이션 모델 개발 참여기업과 주요 AI 기업, 김호원 한국정보보호학회장과 김진수 한국정보보호산업협회장 등이 참석해 의견을 내놨다. 당시 과기정통부는 "우리 사회 정보보호 패러다임을 AI기반 보안으로 서둘러 대전환해야 한다"고 강조했다. 산업계 시선은 과기정통부가 조만간 발표할 제 3차 정보보호 종합대책에 쏠린다. 2차 종합대책은 올 1월말 나왔다. 장일수 스패로우 대표는 "작년에 잇달아 일어난 대형 보안사고로 국내 보안시장 규모가 커질 것으로 보인다"면서 "미토스 등장으로 국내외 보안 시장이 새로운 환경을 맞았는데, 정부의 새 종합대책이 국내 보안산업계의 체질을 강화하는 계기가 됐으면 좋겠다"고 밝혔다.

2026.05.27 10:56방은주 기자

[현장] "보안없는 AI혁신 없어"...아톤, 26년만에 단독 컨퍼런스

아톤이 창립 26년 만에 첫 단독 주관 컨퍼런스를 개최했다. 국가 망보안 체계(N2SF), 인공지능(AI) 보안, 양자내성암호(PQC), 제로트러스트(ZeroTrust) 등 사이버 환경을 둘러싼 다양한 이슈를 살피고 인사이트를 전파함과 동시에 아톤의 보안 전략에 대해 심도 깊게 논의했다. 아톤은 13일 여의도 FKI타워 그랜드볼룸에서 '아톤 시큐리티 서밋 2026'을 개최했다. 이날 행사는 '시큐어 바이 액션(Secure by Action)'이라는 실행하는 보안 실현 전략을 주제로 N2SF, AI 보안 등 보안업계 화두와 더불어 제로트러스트, 클라우드 보안 등 아톤이 제시하는 보안 전략을 공유했다. 우길수 아톤 대표는 행사에 앞선 환영사에서 "지난 한 해 우리 보안업계는 전례없는 도전에 직면했다. 주요 산업 전반에 걸쳐 연이은 해킹 피해를 입었고, AI를 활용한 공격은 그 속도와 정밀도에서 사람의 대응 능력을 넘어섰다"며 "기존 망 분리 중심 보안 체계를 데이터 기준 관리 원칙 기반으로 전환하는 N2SF가 반영되고, PQC 체계 전환 등 보안 규제 환경 또한 빠르게 재편되고 있다"고 진단했다. 우 대표는 "그러나 현장에서 자주 듣는 질문은 '이렇게 많은 보안 솔루션을 도입했는데 왜 사고는 반복되는가?'였다"며 "아톤은 지난 26년간 보안과 핀테크 보안의 최전선에서 노력해왔다. 수많은 은행과 증권사 등 기업의 인증 체계를 설계하고 운영하면서 얻은 결론은 '보안은 결국 실행의 문제'라는 것이다. 이번에 아톤이 창립 26년 만에 처음으로 단독으로 주관하는 대규모 보안 행사를 개최해 매우 뜻깊게 생각한다"고 말했다. 박상원 금융보안원장은 축사를 통해 "최근 사이버 위협은 다양한 기술로 끊임없이 모양새를 바꿔가며 이어지는 전쟁과도 같다"면서 "금융보안원은 금융회사가 자율적인 보안 체계를 구축할 수 있도록 금융 보안 패러다임 전환에 적극 노력하고 있으며, 이 자리가 보안업계의 지혜를 모아 산업 전반을 관통하고 실효성 있는 인사이트를 나누는 소통의 장이 되기를 희망한다"고 말했다. "국내 기업, '보안 기초체력' 부족…N2SF 어려운 이유" 이날 컨퍼런스 키노트세션에서는 김승주 고려대 정보보호대학원 교수, 김홍선 김앤장 법률사무소 고문, 정현석 아톤 시큐리티센터장이 발제에 나섰다. 먼저 김승주 교수는 '국내 기업에 N2SF가 어려운 이유'를 주제로 발표했다. 김 교수는 "국내 기업들이 N2SF가 어렵다고 하는 배경에는 기초 체력이 부족하다는 문제가 있다"면서 "정부가 제시하는 N2SF 가이드라인은 결코 부실하지 않다. 외국 표준도 비슷한 수준인데 왜 이같은 격차가 벌어졌는지 생각해볼 때다"라고 밝혔다. 김 교수는 "보안 내재화가 중요한데, 보안 내재화 역시 본질적인 보안 철학이 무엇인지 모른 채 형식적으로 운영되고 있으며, 국내 평가·인증 역시 형식적으로 운영된다. 이런 부분이 보안 기초체력 부실을 야기했다"면서 "이에 N2SF라는 선진국형 망분리 개선안이 나왔을 때 따라가기 어렵다는 문제가 발생한다"고 지적했다. 김홍선 고문은 이날 '보안 없는 AI 혁신은 없다'를 주제로 발표했다. 김 고문은 "미국 사이버보안 및 인프라 보안국(CISA)에 따르면 최근 취약점 발견부터 익스플로잇(취약점 공격)까지 걸리는 시간이 급격하게 줄어들었다"면서 "올해 기준 1~2일이면 공격이 이뤄진다고 보고 있으며, 현장에서는 10시간이 무너졌다고 보고 있다"고 진단했다. 김 고문은 "이런 가운데 미토스까지 등장했다. 프론티어 AI를 활용한 공격이 우리의 기존 보안 체제를 무너뜨릴 수 있다는 얘기"라며 "지금은 기술의 시대다. 디펜시브 AI 등을 비롯한 많은 본질적인 차이를 가진 기술을 보유해야 한다. 아울러 이를 내재화하고, 리스크 관리, 사이버 레질리언스(복원력), 하네스 엔지니어링 등으로 패러다임을 전환해야 한다"고 강조했다. 정현석 센터장은 AI 시대의 보안 우선순위 4가지를 제시했다. 정 센터장이 제시한 우선순위 4가지는 ▲제로트러스트 기반 신원 강화 ▲능동적인 공격 표면 관리(ASM) ▲공급망 관리 ▲외부 협력체계 등이다. 정 센터장은 "해킹을 당하면 비즈니스 금전적 피해, 과태료, 브랜드 추락, 핵심 인력 이탈, 핵심 역량 노출 등 다양한 패널티를 안게 된다"며 "반면 보안은 통합의 필요성과 중요도는 높아지고, 이에 따른 복잡도 역시 부상했다. 대응을 위해 집단지성이 필요하지만 보안 전문가는 계속해서 부족한 현실"이라고 지적했다.

2026.05.13 16:22김기찬 기자

박정수 강남대 교수 "자산 식별이 보안 출발점"

"보안의 출발점은 네트워크가 아니라 자산이다. 그 중에서도 데이터가 핵심이다. 따라서 자산 식별과 데이터 분류 없이는 어떠한 보안 정책도 효과적으로 적용될 수 없다." 박정수 강남대 컴퓨터공학부 교수는 23일 파이오링크가 개최한 '파이오링크 레질리언스 서밋 2026'에서 이같은 내용을 골자로 한 'N2SF(국가 망보안 체계) 대응 과제'를 주제로 발표했다. 그는 이날 최근 마무리된 N2SF 실증 사업 결과를 바탕으로 향후 N2SF 도입 기관이 준비해야 할 과제에 대해 중점적으로 다뤘다. N2SF는 데이터의 중요도에 따라 C(기밀), S(민감), O(공개) 등 등급으로 분류하고, 차등적인 보안 통제 항목을 적용하는 것이 핵심이다. 인공지능(AI), 클라우드 등 신기술 도입에 있어 공공기관에 적용돼 있는 망분리 제도가 장벽으로 작용하자 망분리 제도를 완화하기 위해 국가정보원 주도로 추진됐다. 박 교수는 "현장에서는 CSO 등급으로 나눠야 하는 것은 대부분 이해하고 있다. 그런데 실제로 어떻게 적용해야 하는지에 대한 많은 의문이 남아 있는 것으로 알고 있다"며 "보유한 정보서비스, 자산을 식별하고 여기에 보안 통제 원칙을 세우고 통제 항목을 매핑한 후, 취약점을 발굴하는 등의 과정은 문서화된 부분에서 충분히 적용할 수 있을 것이라 생각한다"고 밝혔다. 그러나 박 교수는 이 모든 과정의 맨 앞에서 선행돼야 하는 자산 식별의 중요성에 대해 강조했다. 그는 "현장에서 막상 데이터를 분류해 놓고 나니, 이후에 데이터가 이동·결합되는 경우에는 S등급이었던 데이터가 C등급이 되는 등의 일이 추가적으로 발생할 수 있는 여지가 있다"며 "그렇다면 이게 정보 서비스를 제대로 식별한 것이 맞느냐에 대한 고민이 또 발생한다"고 설명했다. 박 교수는 "이는 비단 N2SF만의 얘기가 아니다. 제로트러스트도 똑같이 제로트러스트 역시 자산을 식별하고 식별된 것에 따라서 워크로드를 마이크로세그멘테이션을 하고, 여기에 맞는 제로트러스트 보안 대책을 적용해야 한다"며 "최근에 미국 NIST(국립표준기술연구소)가 발표한 제로트러스트 관련 'NIST SP 1800-39'를 보면 가장 두드러지는 부분은 자산 식별을 굉장히 열심히 했다는 점이다. 자산 식별이 제대로 돼야지만 인력과 예산이 투입될 수 있기 때문일 것"이라고 말했다. 'NIST SP 1800-39'에는 자산 식별 및 데이터 분류에 대한 내용이 포함돼 있다. 지난 2월 발표됐는데, 박 교수는 'NIST SP 1800-39'에 무엇이 중요한 데이터인지를 식별하고, 식별 과정 자체를 자동화하는 것에 대한 논의가 포함돼 있다고 설명했다. 이에 박 교수는 "(미국은) 현재 데이터 중심의 보안 아키텍처를 재구성하는 단계까지 발전해 있기 때문에 우리는 데이터, 자산의 식별과 CSO 등급 훈련은 선택이 아니라 필수가 됐다"며 "N2SF에서 자동화된 데이터 식별 체계를 마련하는 것이 선행돼야 한다"고 역설했다. "보안 지식 없어도 AI로 랜섬웨어 공격" 이날 현장에서는 박 교수의 발표에 이어 에브리존, 파이오링크, 틸론 등 정보보호·IT 기업의 현직 담당자의 발표도 이어졌다. 먼저 김준영 에브리존 팀장은 AI 기술의 발달로 랜섬웨어 공격이 고도화됐으며, 에브리존의 안티랜섬웨어 솔루션 '화이트디펜더'를 통한 데이터 보호의 중요성에 대해 발표했다. 김 팀장은 "지금은 보안 지식이 없어도 생성형 AI로 랜섬웨어를 제작하는 것이 가능하다"며 "랜섬웨어 공격 초기 침투의 80%가 피싱 메일인데, 여기에도 AI를 악용하면서 피싱 메일 역시 정교하게 제작해 유포하고 있다"고 밝혔다. 그는 "화이트디펜더는 행위탐지 기반으로 3~5초 이내에 랜섬웨어를 탐지하고 자동으로 복구하는 솔루션"이라며 "화이트디펜더의 작동 방식을 보면, 랜섬웨어 감염 파일을 실시간으로 카피한 후 암호화될 경우 곧바로 복원한다. 복원 과정은 10초다"라고 설명했다. 김 팀장은 "신종 랜섬웨어, 변종 랜섬웨어 등은 기존 백신으로 탐지하기 어렵고, 최근 랜섬웨어는 데이터 암호화뿐 아니라 비즈니스를 중단시켜버리기 때문에 방어가 선택이 아닌 필수"라고 역설했다. "취약점 공개 이후 첫 공격 14시간 만에 이뤄져…'보안 골든타임' 중요" "취약점이 공개된 후 첫 번째 공격이 시작되기까지 걸리는 시간은 14시간이다. 주말에 CVE(취약점 식별 번호) 공지를 놓쳤으면 월요일 출근 전에 이미 공격을 당한다는 얘기다." 이경호 파이오링크 차장도 세션 발표를 통해 이같이 밝혔다. 이 차장은 이날 '골든타임의 재구성: 침해사고 대응의 패러다임'을 주제로 발표했다. 이 차장은 "보안 조치에는 골든타임이 있다"며 "조직의 보안 담당자들은 CVE가 공개되면 즉시 대응할 수 있는지 물어보고 싶다"고 고객사 관계자들이 모인 현장에서 질문했다. 이 차장 발표에 따르면 최근 5년간 CVE는 급증해 지난해 4만8185건으로 집계됐다. 코드가 방대화되고 클라우드, 써드파티(협력사)가 늘어나면서 취약점 수도 늘어난 것이다. CVE는 CVSS라는 점수 체계를 통해 그 심각도를 짐작할 수 있다. CVSS는 0~10점으로 구성되며 점수가 높을수록 심각도가 높다. 이 차장은 "CVSS 10.0을 기록한 로그포제이(Log4j) 사태를 보면, 금요일 오후 2시에 시작됐다. Java에 기본 탑재된 오픈소스 라이브러리에서 발견됐고, 채팅 한 줄만 입력하면 악성코드를 실행할 수 있는 취약점이 발견됐다. 특별한 기술이 없어도 공격이 가능한 형태였다"며 "당시 취약점 발표 이후 KISA가 보안 업데이트를 긴급 권고했는데, 공격자는 2일도 채 되지 않아 실제 서버에 침투를 시도했다"고 밝혔다. CVSS 10.0의 취약점은 즉각 조치가 원칙이다. 이 차장은 일반적인 조직의 취약점 대응 상황을 가정하며, 금요일 오후에 취약점 공지를 발견하고, 영향을 받고 있는 조직 내 서비스를 확인하고 여러 조직을 거쳐 업데이트까지 가는 과정에서 이미 침투가 이뤄진다고 경고했다. 그는 "사람이 수작업으로 CVE를 일일이 대응하기에는 구조적인 한계가 분명하다"면서 "CVE 대응 과정을 전부 자동화하고 사용자는 결정만 할 수 있게 체계를 구축하는 것이 중요하다. 파이오링크는 수만건의 최신 CVE 자체 분석과 DB(데이터베이스) 자동화를 통해 특정 취약점에 대한 방어 여부를 즉시 확인할 수 있도록 돕는다"고 소개했다. 민정식 틸론 차장은 'AI 시대를 위한 안전한 업무 환경, VDI(데스크톱 가상화) 기반 디지털 전환'을 주제로 발표했다. 민 차장은 이날 틸론의 AI 솔루션 소개, VDI 실제 적용 사례, 파이오링크와 VDI 분야 협력 등을 중심으로 소개했다. 그는 "AI 시대의 1년은 다른 분야의 10년이다. 1년을 망설이다가 3년이 뒤처질 수 있다. AI는 이제 도입하느냐 마느냐의 문제가 아니다. 어떻게 얼마나 잘 쓰느냐의 싸움"이라고 강조했다. 민 차장은 "AI 도입의 성패는 툴이 아니라 인프라가 결정한다"며 "틸론은 VDI를 통해 효율적이면서도 안전하게 AI를 활용할 수 있는 환경을 구성한다"고 말했다. 한편 틸론은 파이오링크 이달 초 업무협약을 체결하고 파이오링크의 하이퍼컨버지드인프라(HCI) 기반의 VDI 사업 강화를 위해 협력하기로 했다. 파이오링크 HCI 솔루션 '팝콘(POPCON)'과 틸론 VDI 솔루션 '디스테이션(Dstation)'을 결합해 VDI를 개별 소프트웨어가 아닌 인프라 통합 모델로 확장할 계획이다.

2026.04.23 20:29김기찬 기자

국정원, 망분리→N2SF '대체' 내달 시행…새 지침 발표

국가정보원이 오는 5월부터 새로운 '국가 사이버보안 기본 지침'을 시행한다. 현 국가정보보안 기본 지침을 개정한 것으로, 급변하는 정보기술(IT) 환경을 반영했다. 지침에는 국가 망보안 체계(N2SF) 명문화, 보안 인력 확대 의무화, 강제 설치 보안 소프트웨어 최소화 등의 내용이 담겼다. 국정원 사이버 정책 담당관은 지난 17일 서울 강남구 코엑스에서 개최한 '제32회 보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 이같은 내용의 지침 개정 계획을 발표했다. 국정원은 이미 초안을 각급 기관에 공문으로 보내 의견을 수렴 중이며, 이르면 5월 초부터 이를 시행할 예정이다. 먼저 국정원은 N2SF 시행에 따라 근거를 갖고 공공기관이 업무를 추진할 수 있도록 세부 조항을 신설했다. 국가 사이버 보안 기본 지침 제3장 1절 내용이다. 기존에는 공적 기관의 경우 업무망과 인터넷 망을 분리해야 한다는 망분리 조항이 있었으나 이 내용이 삭제, N2SF 내용으로 대체됐다. N2SF는 공공기관 데이터를 중요도에 따라 보안 통제를 차등적으로 적용하는 제도다. 데이터를 기밀(C), 민감(S), 공개(O) 등 3가지로 분류해 각기 다른 보안 통제 항목을 적용한다. 기존 망분리 제도를 완화하면서도 클라우드나 인공지능(AI) 등 신기술을 공공부문에서도 적용할 수 있도록 국정원 주도로 지난 9월 가이드라인이 배포됐다. 아울러 기존 정보보안 담당 인력 10% 이상 확보, 정보화 예산 대비 15% 이상 보안 예산 운영 '권고'에서 해당 사항을 '의무화'하는 방향으로 지침을 개편할 예정이다. 각급 기관에서 최대한 보안 예산을 집행할 수 있도록 제도화한 것이라는 게 국정원의 설명이다. 또한 명확한 인증 체계를 사용할 수 있도록 원격 근무자 식별 인증을 위한 생체 기반 인증 등 서로 다른 인증 방식을 다중 적용할 것을 명시했다. 다중 속성 인증(MFA) 도입 활성화를 통해 원격 근무 등 사용자 인증이 필요한 상황에서 보다 강력한 인증 체계를 활용할 것을 명시했다. 공인인증서 패스워드 입력을 위해 강제로 설치해야 하는 보안 소프트웨어도 최근 취약점으로 작용하고 있는 만큼 이 부분을 최소화하기 위한 내용도 지침에 포함됐다. 각급기관과 금융권을 시작으로 대민 서비스에서도 강제 설치 보안 소프트웨어를 점진적으로 최소화해 나갈 예정이다. 이 외에도 AI 시스템 구축과 민간 클라우드 도입에 관한 보안 대책 신설, 암호 자재 장비 운영 근거 마련, 단순 사업자 변경 및 임대 기한 종료 등의 경우 보안성 검토 생략 등의 사항을 지침에 담았다. 국정원 사이버 정책 담당관은 "AI 환경이 급변하면서 규제가 기술 대비 지체돼서 반영되면서 공공 보안 대책 마련이 지연되며 대응이 늦어지는 점을 인지하고, 심의를 거쳐 개정안을 마련했다"며 "향후 혹은 매년 필요한 사항이나 급히 반영해야 할 사항이 생기면 지속적인 개정을 통해 새로운 보안 위협에도 대응할 수 있도록 할 것"이라고 밝혔다.

2026.04.20 15:56김기찬 기자

휴네시온, 파트너사와 동반성장 위한 '파트너스 데이' 개최

정보보안 소프트웨어 전문기업 휴네시온(대표이사 정동섭)이 파트너사와 1박2일간 교류하는 행사를 개최했다. 휴네시온은 지난 9일부터 10일까지 1박2일간 경기 광주 곤지암리조트에서 '2026 휴네시온 파트너스 데이'를 성황리에 마쳤다고 밝혔다. 휴네시온 파트너스 데이는 파트너사와 상생협력 및 동반성장을 도모하고, 소통의 장을 마련해 파트너사의 노고에 감사함을 전하는 자리다. 휴네시온은 2014년부터 시작해 올해로 11번째 파트너스 데이를 개최하고 있다. 올해 파트너스 데이는 AI 대전환 시대에 혁신을 위해 행동하겠다는 전략과 더불어 파트너사와 함께 롱런하겠다는 의미를 담은 '롱런, 홈런 with 휴네시온 파트너'를 슬로건으로 내걸었다. 이번 행사는 다원에스아이, 델 테크놀로지스, 링크넷코리아, 벨로크, 엠플, 진네트웍스, 티엑스원, 핌, 한일네트웍스에서 후원 참여했다. 전국 120여개 파트너사 대표 및 관계자 등 총 300여명이 행사에 참석했다. 특히 파트너와의 토크 콘서트 세션을 통해 휴네시온의 비즈니스 확대 및 파트너 육성을 위한 전략적 체계 개편에 대해 소개하여 파트너사에서 높은 관심을 보였다. 아울러 휴네시온은 '국가 망보안 체계(N2SF) 시대, CDS(크로스 도메인 솔루션)와 AI로 여는 휴네시온의 보안시장 대응전략'을 주제로 발표했다. 이어 ▲엔플러스랩의 '새로운 보안 패러다임 N2SF의 핵심원리와 컨설팅' ▲시큐어시스템즈의 '보안에 LLM은 정말 필요한가?' ▲델 테크놀로지스의 '에어갭(Air-Gap) 사이버 금고로 완성하는 사이버 리커버리' ▲SK쉴더스의 'OT보안 협의체 프로그램' 등 다양한 주제의 발표가 이어졌다. 또한 지난해 한 해 동안 탁월한 실적을 거둔 우수 파트너사를 선정하는 '베스트 파트너 어워드'와 파트너사 임직원 시상을 통해 파트너사의 노고에 감사의 마음을 전했다. 휴네시온은 파트너사와 동반성장을 실천하기 위해 상생협력기금 조성, 파트너 뉴스레터, 제품 개선 참여 포상제도, 자원공동활용, 기술교육 등 다양한 혜택과 지원을 강화한 파트너 동반성장 프로그램(GT Program)을 운영하고 있다. 정동섭 휴네시온 대표는 “휴네시온과 파트너사는 상생의 동반자로서 휴네시온이 11년 연속 망연계 1위 자리를 유지할 수 있었던 것은 파트너사분들의 노고 덕분이다”며 “휴네시온은 앞으로도 파트너사와 소통하고 공감하며 동반성장 할 수 있도록 노력하겠다”고 말했다.

2026.04.10 12:42김기찬 기자

모니터랩, 'eGISEC 2026'서 N2SF 대응 솔루션 선봬

서비스형 보안(SECaaS) 전문 기업 모니터랩(대표 이광후)이 보안 전시회 'eGISEC 2026'에 참가해 국가망 보안체계(N2SF) 전환에 대응하는 제로트러스트 전략과 핵심 솔루션을 선보였다. 모니터랩은 지난 18일부터 20일까지 일산 킨텍스에서 개최된 'eGISEC 2026'에서 N2SF 및 제로트러스트 도입 시범 실증사업을 수행한 경험을 바탕으로 구축형 및 구독형 제로트러스트 솔루션을 총망라해 선보였다고 24일 밝혔다. 모니터랩은 이번 전시회를 통해 AISWG, AIRBI, AIZTNA로 구성된 구축형 제로트러스트 솔루션 전 라인업을 최초로 통합 시연했다. 특히 AISWG는 시큐어 웹 게이트웨이(SWG)와 클라우드 접근 보안 중개(CASB) 등 생성형 AI 보안을 단일 솔루션에서 제공하는 것이 특징이다. 웹, 서비스형소프트웨어(SaaS) 애플리케이션, 생성형 AI 사용 통제까지 하나의 정책 체계 안에서 제어할 수 있도록 설계돼 정책 일관성과 운영 효율성을 높였다. 이번 전시에서는 단순 제품 소개를 넘어 실제 보안 정책이 어떻게 적용되고 연동되는지를 시연 중심으로 구성했다. 이를 통해 제로트러스트가 통합된 정책 기반으로 구현되는 과정을 현장에서 직접 확인할 수 있도록 해 부스를 방문한 보안 실무자들의 관심을 모았다. 이와 함께 제로트러스트 기반의 보안 서비스 엣지(SSE) 플랫폼 에이아이온클라우드(AIONCLOUD)도 함께 선보였다. SWG, CASB, 원격 브라우저 격리(RBI), 제로트러스트 네트워크 액세스(ZTNA) 등의 기능을 선택적으로 도입할 수 있으며, 유연한 확장이 가능하다는 점을 강조했다. 이광후 모니터랩 대표는 “모니터랩은 구축형과 구독형 제로트러스트 솔루션을 모두 갖추고 있으며, 고객 환경과 요구사항에 맞는 방식으로 제로트러스트를 구현할 수 있다는 점이 차별화된 경쟁력”이라며 “이를 바탕으로 공공·금융뿐 아니라 민간 시장에서도 실제 적용 가능한 제로트러스트 보안 모델의 정착을 지원해 나가겠다”라고 말했다.

2026.03.24 17:30김기찬 기자

"메일, N2SF 등급 데이터 매일 교환...정책 검증 최적 플랫폼"

"메일은 국가 망보안 체계(N2SF)의 등급 데이터가 일상적으로 교환되는 유일한 시스템이자 N2SF 정책 검증의 최적 플랫폼입니다." 윤석주 크리니티 BX사업부문 대표는 20일 서울 구로구 포포인츠바이쉐라온 서울 구로에서 개최된 '2026 AI 비즈니스 커뮤니케이션 전략 세미나'에서 "국가 망보안 체계(N2SF)를 도입하는 데 실무진이 직면하는 과제는 방대한 데이터를 어떻게 분류하고 식별할 수 있을지 등 한두가지가 아니다. 크리니티는 N2SF 전환 성공을 위한 핵심 액션 플랜을 보유하고 있다"며 이 같이 밝혔다. 이날 윤 부문 대표는 크리니티가 거둔 지난해 성과와 더불어 N2SF 추진 경과, 대응 과제 및 크리니티 대응 전략 등을 소개했다. 그는 "기존의 20년간 공공 보안의 근간이였던 망분리 정책이 원격 근무 필요성의 대두, 인공지능(AI) 및 클라우드 등 신기술의 발전 속도 등에 따라 정부에서 N2SF를 배포했다"며 "망분리에서 탈피해서 데이터 중요도에 따라 보안을 차등 적용하는 새로운 패러다임, 즉 N2SF가 자리잡을 전망"이라고 밝혔다. 윤 대표는 기업 보안 담당자들이 N2SF로 전환 시 직면하는 과제로 ▲데이터 분류 난이도 ▲예산 및 인프라 ▲인식 전환(심리적 불안함) ▲법적 책임 등을 꼽았다. 이 중에서도 N2SF가 C(기밀)·S(민감)·O(공개) 등급에 따라 데이터를 분류하고, 등급별로 요구되는 보안 대책을 도입해야 하기 때문에 이를 한꺼번에 도입할 수 있을지에 대한 막연함에 대해 공감했다. 이에 윤 대표는 "크리니티는 N2SF 전환 성공을 위한 핵심 액션 플랜을 보유하고 있다"며 "자산의 등급 확인, 격리 아키텍처 결정, 6대 코어 보안 요건 점검, 인적 오류 방어선 구축 등이다"라고 소개했다. 그는 이날 현장에서 외교부, 한국수력원자력, 포스코, 한국토지주택공사 등에 도입한 N2SF 성공 사례에 대해서도 소개했다. 또 에이전틱 AI 기반의 자사 메일 보안 솔루션 '인싸 AI(Inssa AI)'도 설명했다. '인싸 AI'는 공공 보안 메일 시스템 구축 시 AI 에이전트를 활용해 조직의 맥락을 이해하고 복합적인 업무를 자연스럽게 조율하는 솔루션이다. 조직 맞춤형으로 AI를 커스터마이징하는 것은 물론, 외부 LLM(거대 언어 모델)을 활용하지 않기 때문에 보안성도 우수하다. RAG(검색 증강 생성) 기반으로 작동해 탁월한 정합성도 자랑한다. 내부 인사이트를 기반으로 작동하는 에이전틱 AI이기 때문에 자연어로 메일 요약 등 복잡한 업무도 AI가 수행하기 때문에 업무 효율성을 크게 높였다.

2026.03.21 06:17김기찬 기자

KISA, N2SF 6개 모델 확산에 올 45억 지원

한국인터넷진흥원(KISA)이 작년에 이어 올해도 국가 망 보안 체계(N2SF) 실증 사업을 추진한다. 올해는 작년에 한 실증 사업의 정보서비스 모델(6개)을 확산하는데 주력한다. N2SF 정보서비스 모델은 국정원이 만든 것으로 현재 총 11개가 있다. 11개 중 6개모델을 대상으로 작년에 KISA가 실증사업을 했다. 올해는 작년에 한 실증사업 6개 모델을 확대하는 개념으로, 총 45억 원을 투입한다. 1개 과제당 9억 원 꼴이다. 6개 모델확산과 별개로 KISA는 작년에 실증 하지 않은 모델 하나 혹은 두 개를 대상으로 올해 처음으로 실증하는 사업도 추진한다. 즉, 작년에 실증한 모델은 올해 확산을, 작년에 실증하지 않은 모델은 올해 처음으로 실증하는, 투 트랙으로 사업을 진행한다. 권혁 한국인터넷진흥원(KISA) AI정부보호팀장은 이 같은 내용의 N2SF 실증 사업을 15일 밝혔다. 권 팀장은 "지난해 N2SF 실증 사업은 과학기술정보통신부, 행정안전부 등의 신규 서비스 2개, 국가·공공기관의 기존 업무환경 4개를 대상으로 N2SF 실증 기획·설계 및 보안성 점검을 하는 것으로 이뤄졌다"며 "이를 통해 산출물을 창출하는 것이 이번 사업의 첫 번째 목표였다. 이 산출물을 바탕으로 다른 기관에도 적용할 수 있는 방안을 제시하는 것이 최종 목표"라고 설명했다. 업무망과 인터넷망을 분리해 놓는 기존의 '망 분리' 정책은 국가·공공기관의 신기술 활용에 장벽으로 작용해왔다. 이런 한계를 극복하고자 국가정보원은 지난 2024년 망분리 개선 로드맵을 발표한 이후 N2SF라는 프레임워크를 만들어 지난해 9월부터 정식 가이드라인을 공개하며 확산에 나섰다. KISA는 N2SF의 실제 도입 성공 사례를 발굴하기 위해 실증 사업에 착수했다. 실증 과정은 ▲N2SF 적용을 위한 현황 파악 ▲C·S·O(기밀·민감·공개) 등급 분류 ▲모의해킹 등 위협 식별 ▲보안 대책 수립 ▲적절성 평가 ▲산출물의 국가정보원 보안성 검토 등 순으로 진행됐다. N2SF 적용을 위해 정보시스템식별해 C·S·O 등급별로 분류하고, RBI(원격 브라우저 격리), 제로트러스트 기반 기술 등을 적용해 보안대책을 수립한 후 모의해킹 등 적절성 평가를 거쳐 최종 산출 결과를 받아내는 과정인 것이다. 올해 N2SF 사업은 지난해 실증한 정보서비스 모델을 기반으로 국가·공공기관 도입을 지원한다. 공모사업과 용역사업으로 나눠 진행한다. 공모사업은 지난해 검증 모델의 확산 관련, 용역사업은 추가적인 실증 과정이다. 용역사업의 경우 이달 중 추가적인 계획이 확정되면 보완해 발표할 예정이다. 공모 사업은 N2SF 정보서비스 모델의 도입을 지원하고기 위해 올해 5월부터 12월까지 총 45억 원 규모(총 6개 과제, 과제별 7억5000만 원)으로 지원한다. 반드시 컨소시엄 형태로 사업에 착수해야 한다. 컨소시엄은 수요 기관이 도입을 희망하는 N2SF 정보서비스 모델을 구현·적용 및 운영 지원할 수 있는 역량을 보유한 국내 기업 3~5곳이다. 컨소시엄은 반드시 수요 기관을 확보해야 한다. 시범사업 전 과정(개발·적용·실증·운영 등)에 대해 수요기업과 구체적 협력 계획을 제시해야 한다. 공기업·비영리기관은 주관기업으로 참여할 수 없다. 수요기관은 N2SF를 실제 업무에 적용할 정보서비스를 선정한 후 운영 계획을 수립한다. 이어 C·S·O 등급별로 분류하고 컨소시엄과 협력해 국가정보원 보안성 검토 계획 및 지속적 운영을 위한 계획 수립 등의 역할을 맡는다. 권 팀장은 "지난해 실증에는 예산의 한계가 있어 아직 실증해 보지 못한 다른 보안 모델도 있다. 이런 모델에도 실증 작업을 거치고, 지난해 실증 결과는 사례집으로 만들어 배포할 예정이다"라며 "이를 통해 다른 공공기관에서도 참고하고 확산할 수 있도록 할 것"이라고 강조했다.

2026.03.16 18:28김기찬 기자

파수, 민감정보 관리 솔루션 신규 버전 출시

파수(대표 조규곤)가 민감정보 관리 솔루션 'AI-R DLP'의 신규 버전을 출시하며 AI 신규 시장 창출에 속도를 올린다. 파수는 17일 챗GPT 등과 같은 생성형 AI 서비스 사용시 유출될 수 있는 개인정보는 물론 조직 고유의 민감정보까지 검출이 가능한 민감정보 관리 솔루션 'AI-R DLP'의 신규 버전을 출시했다고 밝혔다. 이번 신규 버전 업데이트는 N2SF(국가 망 보안체계) 보안 정책을 반영한 데이터 검출 및 통제 기능을 제공함으로써, 망 분리·망 연계 환경에서도 생성형 AI를 안전하게 활용할 수 있다는 장점도 있다. AI-R DLP는 사용자가 입력하는 프롬프트와 첨부파일에 포함된 개인정보 외에도, 일반 기업의 영업기밀이나 공공기관의 N2SF정책에 따른 데이터 검출도 가능해졌다. AI-R DLP는 먼저 AI 기반의 자연어 처리(NLP) 기술과 파수 자체의 딥러닝 기술로 정규식이 아닌 복잡한 문장 내에서도 맥락을 이해해 다양한 개인정보를 검출한다. 아울러 제품이나 기술, 영업 등에 대한 기밀 정보 또한 자연어로 맞춤 설정한 기준에 따라 파수 고유의 LLM 기술로 광범위하게 검출할 수 있다. 같은 맥락으로 N2SF의 보안등급(CSO)에 따른 데이터 검출도 가능하다. 이 외에도 AI-R DLP는 조직의 사용규정에 따라 부서별/사용자별로 검사 대상을 설정하거나 후처리 정책을 적용할 수 있다. 또한 모든 프롬프트 문답로그를 보관해 감사에 활용이 가능하며, 특히 개인정보나 기밀정보 과다전송 사용자는 관리자에게 알려 필요한 추가 조치를 취할 수 있게 돕는다. 파수는 AI-R DLP의 챗GPT(ChatGPT)와 제미나이(Gemini), 클로드(Claude) 사용을 지원하고 있으며, 추후 지속적으로 대상을 확장해 나갈 예정이다. 고동현 파수 상무는 “파수의 AI-R DLP 는 AI 활용에 있어 걸림돌이 된 민감정보 유출 걱정을 덜고, 기업 및 공공기관이 AI 혁신을 통해 경쟁력을 강화할 수 있도록 지원한다”며, “파수는 새로운 AI-R DLP를 포함, 구축형 LLM 플랫폼인 'Ellm', AI기반 개인정보보호 솔루션 'AI-R Privacy' 등 AI 시대에 가장 필요한 솔루션을 지속적으로 제시하며, 개인정보보호와 기업용 AI, 공공 N2SF 시장을 적극 공략해 나갈 것”이라고 말했다.

2025.12.17 16:35김기찬 기자

"금융권 자율보안, 제로트러스트 적용 필수"

금융회사가 스스로 보안체계를 강화할 수 있는 방향으로 전환하기 위해 금융당국이 '자율보안'을 추진하고 있는 가운데 금융권의 제로트러스트(Zero Trust) 보안 모델 적용과 관련한 제언이 나왔다. SGA솔루션즈 김광훈 전무는 30일 한국정보보호학회가 서울 양재동 aT센터에서 개최한 '제1회 제로트러스트 워크숍'에서 '금융 자율보안체계를 위한 제로트러스트 구현 전략'에 대해 발표했다. 김 전무는 금융 자율보안 체계 접근을 위해 금융기관 연구개발 환경 특성을 반영한 제로트러스트 보안 모델을 도입해야 한다고 강조했다. 구체적으로 ▲자율보안 체계 전환을 위한 선제적 보안체계 확보 ▲제로트러스트와 국가 망보안 체계(N2SF)를 결합한 보안 모델 구축 ▲구성요소, 핵심요소 등 제로트러스트 성숙도 수준을 모두 준용한 모델 구축 등 3가지 전략을 제시했다. 김 전무는 "금융권이 자율보안 체계에 빨리 대응하기 위해서는 검증된 우리만의 자율적인 보안 체계가 필요한데, N2SF는 좋은 사례가 되고 있다"며 "따라서 N2SF를 사용해서 금융권만의 보안 체계를 갖고 이를 제로트러스트를 통해 구현해서 보안 수준을 높은 수준을 향해 계속해서 고도화하는 것이 필요하다"고 강조했다. 그는 이날 발표에서 금융 자율보안 체계를 성공적으로 실현하기 위한 '4대 추진 전략'도 제시했다. 우선 자율보안 체계 전환을 위해 제로트러스트 보안 모델 도입을 통한 ISMS-P(정보보호 및 개인정보보호관리체계 인증) 고도화와 N2SF의 적용이 필요하다고 당부했다. ISMS-P의 보안 구현 체계를 경계형 보안 모델에서 제로 트러스트 보안 모델로 전환하고, N2SF 연구개발망 보안통제 항목을 제로트러스트 아키텍처 기반으로 달성해야 한다는 것이다. 또 소프트웨어 개발 단계부터 운영까지 전주기에 걸쳐 제로트러스트 기반의 강력한 보안 체계를 구축하고, 4단계 성숙도 모델 기반의 수준 진단 및 도입 효과를 검증하는 절차도 중요하다고 강조했다. 이어 제로트러스트를 단계별로 구축 및 확장하기 위해 '풀 스택(Full-stack)' 기반의 제로트러스트 아키텍처(ZTA) 프레임워크 도입이 반드시 필요하다고 역설했다.

2025.10.30 16:12김기찬 기자

파수, N2SF 시범 실증 사업 참여…AI 기반 행정 보안성 확보

파수(대표 조규곤)가 국가 망 보안체계(N2SF)의 필수 단계인 데이터 식별과 분류, 통제 부분을 맡아 우리 공공기관의 디지털 혁신의 기반이 될 N2SF 구현을 지원할 예정이다. 파수는 '범정부 초거대 AI 공통기반 대상 국가 망 보안체계 시범 실증'에 참여한다고 29일 밝혔다. 파수는 이번 실증 사업의 투이컨설팅 컨소시엄으로 참여하고 있다. N2SF는 정부 및 공공기관은 전산망을 중요도 및 민감도에 따라 구분하고 각 등급별 차등화된 보안대책을 적용하는 프레임워크로, 초거대 AI 기반 행정서비스에 적용해 공공업무의 효율성과 보안성을 확보한다. 투이컨설팅을 주축으로 파수 외에도 모니터랩, 엔키화이트햇, 이니텍이 참여하며, 파수는 데이터 관리 및 보안에 대한 인사이트를 기반으로 N2SF의 가장 기본이 되는 데이터 분류 및 통제 부문의 구체적인 세부 실행방안을 제시하고 검증한다. 이번 사업 참여로 파수는 실증 및 검증해 공공부문에 최적화된 AI 보안 적용 모델과 확산 방안을 마련할 계획이다. 고동현 파수 상무는 “N2SF는 우리 정부 및 공공기관이 AI, 클라우드 등의 최신 기술을 도입해 디지털 혁신을 이루기 위한 필수적인 과제”라며, “파수는 데이터 관리 및 보안 분야에서 축적한 인사이트를 기반으로 N2SF 구현을 지원해 안전한 AI 활용에 이바지하겠다”고 말했다.

2025.09.29 18:51김기찬 기자

"N2SF, 다양한 민관 융합 정보서비스 창출"

국가보안기술연구소(국보연) 이택규 책임연구원은 19일 열린 '2025년 정보보호 교육 및 거버넌스 워크숍'에서"국가 망 보안체계(N2SF) 연구개발(R&D) 기술 개발은 대한민국 보안 거버넌스 실현의 초석"이라고 밝혔다. 이 책임연구원은 이날 'N2SF 중심의 조직 보안거버넌스 실현을 위한 보안기술 구현'을 주제로 발표했다. N2SF(National Network Security FRAMEwork)는 정부가 공공기관과 국가망의 보안을 새로 설계한 제도로, 기존의 망 분리 정책을 재편한 것이다. 클라우드, AI 같은 신기술 활용이나 데이터 공유 유연성 확보가 어렵다는 지적에 이를 수용, 새로 만든 것이다. 업무 중요도에 따라 등급을 나누고, 등급별로 보안 통제를 달리 적용한다. 최근 국정원이 정식 가이드라인 1.0을 공개했고, 조만간 공식 발표할 예정이다. 이 책임연구원은 N2SF에 대해 "기술주도 AI 산업혁명을 위한 'AI 및 클라우드 고속도로'라고 말했다. 아울러 N2SF가 실현되면 ▲보안 기술 R&D 공백 제거 ▲국가 데이터 신기술 활용 활성화 ▲국가 정보인프라 AI·클라우드 플랫폼 활용 ▲보안등급(C·S·O)별 차등화된 보안대책 적용 등의 기대효과를 불러 일으킬 수 있으며, 안전하고 편리한 국가 정보인프라 구현을 앞당길 수 있다고 강조했다. 또한 보안통제 항목에 따른 솔루션 개선 및 개발을 유발하고, 다양한 민관 융합 정보서비스도 창출될 것으로 내다봤다. 업무 효율성 제고는 물론 공공데이터의 활용성 및 보안성 강화도 기대되는 대목이다. 이 책임연구원은 "국가 공공기관에서 기존 망 분리 체제를 N2SF로 전환하려면, 기관들이 보호해야 될 자산과 공개할 자산들을 자발적으로 분류하여 자율적인 보안 체계를 구축하여야 하는데, 이는 N2SF 관련 지침 준수와 동반 정책 추진을 통해 실제로 구현될 수 있을 것"이라며 "실제 구현에 필요한 기술들을 산업계가 개발해서 국가와 공공기관도 AI와 클라우드를 자유롭게 활용하는 날이 올 것이라고 국가차원에서 기대할 수 있다"고 강조했다. 그는 이어 "현재는 'AI 러시' 시대다. 과거 골드러시 시대 때 사실 가장 많은 이득을 본 곳은 '청바지 회사'들이다"면서 "AI 시대가 도래하면서 현재 망분리 정책 하에서는 AI를 쓰기 어려운 만큼 N2SF는 가장 중요한 보안 이슈로 자리잡았다"고 평가했다.

2025.09.20 17:48김기찬 기자

국정원 보안 통제 항목 176→260여개로...N2SF 정식 지침 공표

국내 사이버보안 산업에 큰 영향을 미칠 것으로 보이는 국가망보안체계(N2SF, National Network Security FRAMEwork) '지침(가이드라인) 1.0'이 공개됐다. 국가정보원(국정원)이 마련한 것으로, 올초 초안(드래프트) 공개에 이어 정식 버전이 마침내 공표된 것이다. 이에 따르면, 보안 통제 항목에 대한 세부 항목이 기존 170여개에서 260여개로 늘었다. 국정원은 9일 서울 강남구 삼성동 코엑스에서 개최한 글로벌 사이버안보 행사 '사이버 서밋 코리아(Cyber Summit Korea, CSK 2025)'에서 '국가 사이버안보 정책'을 발표, 이의 일환으로 N2SF 가이드라인 정식 버전 1.0을 공개했다. 김소정 대통령실 사이버안보비서관이 사회를 보며 발표 행사를 진행했다. N2SF는 공공데이터 활용 촉진과 보안성 확보를 위한 국가망보안체계를 말한다. 기존의 획일적 망분리(물리·논리적 격리) 정책을 대체 및 보완하는 것으로, 업무와 데이터 중요도에 따라 보안 수준을 차등 적용한 정부의 새 보안 정책이다. 앞서 국정원은 지난해 하반기 첫 개최한 'CSK 2024'에서 N2SF 로드맵을 처음 공개한 바 있다. 이어 올 1월 초안을 발표, 정식 버전 공개를 위한 의견수렴과 실증을 해왔다. 국정원은 N2SF를 정책을 ▲N2SF 고도화 및 확산 ▲클라우드 보안정책 개선 ▲IT기술 활용 확대 등 3가지 큰 축으로 개선해 나갈 계획이다. N2SF 고도화 및 확산을 위해 국정원은 N2SF 가이드라인 내용을 보강하겠다는 계획이다. 먼저 N2SF 가이드라인 내 개념 설명에 대한 부분을 보강하고, 이해가 용이하도록 단계별 활동을 요약해 정책적인 기반을 강화한다. 또한 N2SF를 적용했을 때 어떤 산출물이 나올지에 대한 이전 양식들을 표준화했다. 이 뿐만 아니라 미국 NSA 등 글로벌 스탠다드를 반영해 CDS(크로스 도메인 솔루션)에 대한 개념도 새로 추가했다. 아울러 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 크게 6개 영역으로 구분되는 보안 통제 항목에 대한 세부 항목들도 기존 170여개에서 260여개로 확대했다. 보안 통제 항목에 대한 설명도 보완했다. 이 외에도 특허청, 국가과학기술연구회, 한국은행 등 실제 공공기관이 N2SF를 도입·적용한 사례에 대해서도 발표했다. 국정원 보안 정책 관련 관계자는 "드래프트 버전의 N2SF 가이드라인은 공공기관에만 제한적으로 공유했는데, 이번 1.0 버전은 대외 공개로 전환할 계획"이라며 "내년에는 과학기술정보통신부와 합동으로 N2SF 시범사업을 추진할 예정이고, 이같은 내용이 내년도 정부 예산안에도 반영돼 있다. 국회 심의 후 예산이 확정될 예정"이라고 설명했다. 클라우드 보안 정책 완화로 N2SF 고도화 클라우드 보안정책과 관련해서도 개선을 통해 N2SF 기반 AI 등 신기술 및 공공데이터의 원활한 활용을 지원한다. 우선 국정원은 공공용 민간 클라우드에 대한 보안 기준을 완화하기로 했다. 기존 공공 클라우드는 상·중·하 등급제가 적용되는데, 등급별로 보안 기준이 차등화돼 있다. 이를 개선해 중·하 등급의 경우 보안 기준을 완화해 민간 클라우드 사업자의 공공 진입 요건을 완화할 계획이다. 또 민감 정보의 민간·공공 공동활용 클라우드를 정립한다. 분야별 소관기관과 관련 민간이 민감한 공공데이터를 공유하는 영역별 클라우드를 정립해 공공 데이터 활용도를 높인다. 이 영역별 클라우드는 외부에서도 민감 정보에 대해 공공과 민간이 동시에 활용할 수 있도록 차별적인 보안 요구를 마련할 계획이다. N2SF가 AI 등 신기술 활용을 위해 획일적인 망분리에서 차등 보안 기준을 적용하는 체계로 변경하는 것이므로, AI, 클라우드 등 신기술의 이용 활성화를 위한 보안 정책 고도화에도 나선다. 국정원은 "특정 제조사의 하드웨어와 결합되는 등 특화된 클라우드의 경우 도입에 제약이 없도록 국정원이 별도의 요건을 마련해서 정책을 세분화하겠다"며 "AI가 다양해지고 있는데, AI의 다양성에 따른 유형별 보완 대책도 마련하고, 2023년에 최종 업데이트된 생성형 AI활용 보안 가이드라인에 반영해서 올해 12월까지 최종 개정안을 마련 하겠다"고 밝혔다. '플러그인 보안 SW' 더 이상 안 깔아도 된다 정부 웹사이트에서 플러그인 방식의 보안 소프트웨어를 별도를 설치해야 하는 불편한 경험을 덜어낼 수 있을 전망이다. 국정원은 정부 웹사이트 공동인증서용 보안 소프트웨어에 대한 개선도 추진한다. 보안 등의 목적으로 설치된 플러그인 소프트웨어가 오히려 취약점이 발견되면서 해킹 사고가 지속해서 발생하고 있는 만큼 보안 소프트웨어 설치 없이 공동인증서를 활용하도록 인증 방식을 개선하겠다는 것이 골자다. 국정원은 "플러그인 방식의 보안 소프트웨어 없이도 인증 방식 개선을 통해 보안성과 편의성 등 '두 마리 토끼'를 잡는 것이 목적"이라고 설명했다. 구체적으로 클라우드 인증서, 브라우저 인증서, 자바 스크립트(Java script) 모듈 등을 활용해 불필요한 플러그인 보안 소프트웨어 설치를 없앴다. 국정원은 국민 이용이 많은 대민 서비스에 이같은 체계를 시범 적용한 이후 모든 공공 부문으로 확산한다는 계획이다. 이후 점진적으로 민간 확산도 유도할 방침이다. 아울러 '국가정보보안기본지침'내에 플러그인 소프트웨어 설치 제한 규정을 신설하고, '사이버보안 관리실태평가지표' 등에도 이같은 내용을 반영할 계획이다. 이행력을 강화해 국민 편의성을 보다 빠르게 높이기 위한 조치로 해석된다. 또한 국정원은 사이버 보안 기능을 클라우드 서비스로 제공하는 SECaaS(클라우드 기반 보안서비스)의 확산을 위해서도 보안 요건을 정립해 SECaaS의 공공부문 도입 확산을 유도한다. 이에 공공부문에서 클라우드 기반 지능형 위협탐지, IAM(사용자·권한) 및 원격 브라우저 격리(RBI) 등 다양한 보안 서비스 도입이 가능해질 것으로 국정원은 전망했다. 공공기관의 경우 보안을 위해 비인가 무선 인터넷(WiFi) 도입이 엄격하게 금지되고 있는데, 이런 규제도 완화한다. 유선망 기반 업무환경을 무선망 기반 인프라로 전환하기 위함이다. 재난·안전 현장 정보 등 공개(Open) 등급의 업무 보안 요건도 완화된다. 재난·안전 현장에서 공무원들이 스마트폰을 활용해 O등급 데이터를 처리할 수 있도록 보안 요건을 완화하는 것이 골자다. 국정원이 그리는 차세대 보안 생태계 'N2SF' N2SF는 전산망을 기밀(C·Classified), 민감(S·Sensitive), 공개(O·Open) 등 세 가지 등급으로 분류해 보안 통제를 차등 적용하는 망보안 체계다. 업무별로 보안 수준이 다르기 때문에 획일적으로 망 분리를 시키는 것이 아니라 업무 중요도에 따라 서로 다른 보안 체계를 적용하는 것이 핵심이다. 국정원은 신규 보안 정책인 N2SF의 빠른 안착과 확산을 위해 N2SF 적용 관련 설계 및 보안 대책 요청 시 적극 지원한다는 방침이다. 또 가이드라인에 수록된 정보서비스 모델을 지속 발굴하고 수시로 업데이트해 나갈 계획이다. N2SF를 사이버보안 실태평가 지표에 반영하고 추가적인 정보보안 활동으로 판단해 가점을 부여하는 등 확산을 유도한다. N2SF 관련 보안 업체에 대해서는 보안 제품 및 서비스 연구·개발을 당부하기로 했다. 한편 이날 국정원은 N2SF뿐 아니라 ▲범국가 양자내성 암호체계 전환 종합 추진계획 ▲모빌리티 분야 보안체계 정립 ▲우주시스템 사이버보안 가이드라인 정립 등 부상하는 보안 위협에 대한 대책들을 내놨다. 국정원 관계자는 "AI 대전환 물결 속에서 새로운 사이버 위협에 선제적으로 대응하고 기술혁신에 기여하겠다"고 밝혔다.

2025.09.09 19:08김기찬 기자

앤앤에스피, CSK서 N2SF 대응 솔루션 선봬

사이버물리시스템(CPS) 전문 기업 앤앤에스피(대표 김일용)가 국내 최대 규모의 글로벌 사이버안보 행사인 '사이버 서밋 코리아(Cyber Summit Korea, CSK 2025)'에 참가해 국가 망보안 체계(N2SF) 및 제로 트러스트 체계 구축을 지원하는 보안 솔루션을 선보였다. 앤앤에스피는 8일부터 11일까지 서울 코엑스에서 개최되는 CSK 2025에 참가해 N2SF에 대응할 수 있는 차세대 크로스도메인솔루션(CDS) 등을 선보인다고 9일 밝혔다. 앤앤에스피가 선보이는 차세대 CDS는 N2SF를 준수하면서 데이터를 안전하고 신뢰성 있게 교환할 수 있도록 설계된 보안 게이트웨이 '앤넷CDS'다. 이번 CSK 2025에서는 N2SF의 정식 가이드라인이 발표되는 만큼 N2SF에 효율적으로 대응할 수 있는 솔루션을 소개하는 데 집중한 것으로 풀이된다. 아울러 앤앤에스피는 N2SF 지원을 위한 검증된 기업 간 협력 모델도 소개한다. 구체적으로 앤앤에스피는 수산아이앤티, 소프트캠프 등 보안 기업과 협력해 합동 전시 부스를 구성했다. 이 부스에서는 N2SF 환경에서 안전한 서비스형 소프트웨어(SaaS) 및 생성형 인공지능(AI) 활용 방안에 대해 제시한다. 앤앤에스피는 소프트캠프와 협력해 앤넷CDS와 RBI(Remote Browser Isolation)를 결합한 보안 모델도 선보인다. 공공기관이 업무 단말에서 안전하게 인터넷에 접속할 수 있는 솔루션이다. 뿐만 아니라 앤앤에스피는 수산아이앤티와 협력해 앤넷CDS와 SSG를 연동, 공공기관이 클라우드 협업툴(SaaS)을 안전하게 활용할 수 있도록 지원한다. 지니언스, SGA, 프라이빗테크놀로지 등 N2SF에 적극 대응하고 있는 기업과도 협력해 CDS와 제로트러스트 영역까지 협업을 확장한다. 앤앤에스피는 이같은 협력을 기반으로 공공 및 금융기관 고객에 종합 보안 체계를 제공한다는 방침이다. 이 외에도 CSK 2025와 동시 개최되고 있는 부대 행사 국제사이버훈련(APEX)에도 산업용 이더넷 장애 진단 시스템 '앤넷애널라이저'를 공급한다. 김일용 앤앤에스피 대표는 "올해는 앤넷CDS를 중심으로 공공·금융기관의 N2SF 대응에 최적화된 협업 모델을 선보이게 됐다"며 "전시뿐 아니라 실습 행사에도 직접 참여해 산업 현장과 기관들이 당면한 사이버 보안 과제를 함께 해결해 나가겠다"고 말했다.

2025.09.09 15:48김기찬 기자

보안업계 "N2SF 내년 본격 확산...수요 대응 잰걸음"

국가망보안체계(N2SF, National Network Security FRAMEwork)의 정식 지침(가이드라인)이 임박한 가운데 보안업계 사이에서 기대와 우려가 공존하고 있다. 새로운 시장이 창출될 거라는 예상과 함께 공공기관의 예산의 제약 때문에 N2SF의 수요 창출 효과가 미미할 수 있다는 의견이 나오는 상황이다. 익명을 요구한 보안업계 전문가는 "N2SF로의 전환으로 보안 인력이나 솔루션에 대한 수요 유발 효과는 분명히 있을 것"이라면서도 "하지만 한편으로는 대부분의 기관이 정해진 예산과 인력을 가지고 운영을 하다 보니 유의미한 효과가 있을지는 확신이 서지 않는다"고 말했다. 그는 이어 "내년에 기관에서 자체적으로 예산을 더 확대하고 인력을 충원하는 식으로 인식을 개선해 나가야 한다"고 역설했다. 국내 사이버 보안 기업들은 N2SF 관련 사업들을 적극적으로 준비하는 중이다. 우선 SGA솔루션즈(대표 최영철)의 경우 '통합 보안' 전략을 기반으로 제로트러스트, N2SF 등 변화하는 보안 패러다임에 선제적으로 대응하고 있다는 평가를 받고 있다. SGA솔루션즈는 국가·공공기관 대상 국가 망보안 체계 시범 실증 사업 주관사이기도 하다. 특히 과학기술정보통신부의 제로트러스트 실증 사업 및 시범 사업을 3년 연속으로 수주하는 등 다양한 N2SF의 선례를 만들어 나가고 있다. 지난달 27일 기자간담회에서는 2023년 제로 트러스트 보안 솔루션 'SGA 제로트러스트 기반 보안체계(ZTA)'를 강조했으며, 정부 제로 트러스트 실증사업을 수행하면서 실제 업무 적용 가능성을 입증했다고 소개한 바 있다. 최영철 SGA솔루션즈 대표는 "이번에 N2SF 정식 가이드라인이 확립되는데, 올해부터 실증사업이 진행됐고 내년부터는 N2SF가 본격적으로 확산될 시기로 보인다"며 "얼마나 빠른 시간 내에 N2SF가 정착되느냐가 관건이 될 것"이라고 설명했다. 기관들의 진행 여부와 관련해서는 "망 분리가 되지 않은 경우에는 아마 바로 N2SF가 도입돼야 할 부분일 것 같고, 망 분리가 돼있는 경우에는 업무 허용성을 판단해 예산을 받아 진행할 가능성이 있어 보인다"고 밝혔다. SGA솔루션즈는 민간(제로트러스트), 공공(N2SF), 금융(자율보안체계), 국방(K-RMF) 등 영역별 보안 패러다임에 발맞춰 오버레이를 통한 제로트러스트 전략을 전개할 계획이다. 지니언스(대표 이동범)도 N2SF 체계 구축을 위한 핵심 솔루션으로 ZTA 기반 보안 플랫폼을 보유하고 있다. 또 지니언스도 마찬가지로 제로트러스트 시범·실증 대상 보안 컨설팅 사업에 참여했던 경험을 바탕으로 정보서비스 분석부터 보안통제 항목 도출에 이르기까지 시나리오 기반 접근방식을 통해 설계-구현 일체형 전략을 제공할 수 있는 역량을 확보하고 있다는 평가를 받는다. 뿐만 아니라 지니언스 관계자에 따르면 N2SF의 성공적인 도입을 위해 보안통제의 체계적 구현 로드맵을 수립하고 있다. N2SF의 필수 요소를 충족하는 다양한 솔루션과 함께 전략적 얼라이언스를 구축하는 것이 핵심이다. 이 얼라이언스를 통해 정보서비스 8가지 모델에 선제적으로 대응할 수 있는 최적화된 보안 모델을 제시하고, 각 참여 기업의 기술력을 연결해 N2SF의 성공적인 실현에 기여하겠다는 방침이다. 안랩은 네트워크 통합 보안 솔루션 '안랩 XTG(Ahnlab XTG)'를 통해 제로 트러스트 및 N2SF 대응에 나서고 있다. '안랩 XTG'는 안랩의 고성능 방화벽 역량과 ZTNA, SD-WAN 등 최신 네트워크 보안 기능을 탑재, 유연하고 강력한 네트워크 통합 보안을 제공하는 솔루션이다. 또한 네트워크의 구성 변경과 추가 솔루션의 도입을 최소화하며 제로 트러스트 가이드라인과 국가 망 보안체계(N2SF) 가이드라인에 부합하는 제로 트러스트 보안 체계를 구축할 수 있는 것으로 알려졌다.

2025.09.07 21:54김기찬 기자

"보안 시장 새 질서"...N2SF 지침 1.0 발표 눈앞

국가정보원이 발표하는 국가망보안체계(N2SF, National Network Security FRAMEwork) '지침(가이드라인) 1.0' 정식 버전 발표가 임박했다. N2SF는 공공데이터 활용 촉진과 보안성 확보를 위한 국가망보안체계를 말한다. 국정원은 작년 하반기 자체 보안 행사 '사이버 서밋 코리아(CSK)')에서 이의 로드맵을 처음 공개했다. 이어 올 1월 초안을 발표, 정식 버전 공개를 위한 의견수렴과 실증을 해왔다. N2SF는 기존의 획일적 망분리(물리·논리적 격리) 정책을 대체 및 보완하는 것으로, 업무와 데이터 중요도에 따라 보안 수준을 차등 적용한 정부의 새 보안 정책이다. AI·클라우드·SaaS 등 신기술 활용 확대와 데이터 활용 요구가 커지면서, 기존 망분리 방식이 업무 효율과 기술 도입을 가로막는다는 지적이 많았는데 이를 해결하기 위해 나왔다. 국정원이 오는 8~11일 여는 '2025 CSK'를 개최하는데 이 행사 기간중 정식 지침 1.0을 발표할 것으로 점쳐진다. 국내 보안시장에 새로운 질서를 불러올 NS2SF는 무엇이며 시장에 어떤 파급효과를 가져올 지를 두 차례 조명한다. ■ 국정원, 2024년 CSK서 로드맵 공개하고 올 1월 시안 발표 국가망보안체계(N²SF) 핵심 개념은 정부 전산망을 업무 중요도에 따라 기밀(Classfied)·민감(Sensitive)·공개(Open) 등급으로 분류, 보안통제 6개 항목을 차등 적용해 보안성·데이터 공유 활성화를 동시 충족하는 것이다. N2SF는 보안성과 데이터 활용성을 모두 높일 수 있는 '등급' 기반의 보안 체계를 말한다. 정식 가이드라인에는 이미 발표된 가이드라인에 보안업계 의견이 대폭 반영된 것으로 알려졌다. 국정원이 올해 초 발표한 N2SF 가이드라인 초안에 따르면 N2SF는 전산망을 기밀(C·Classified), 민감(S·Sensitive), 공개(O·Open) 등 세 가지 등급으로 분류해 각 등급에 따라 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 크게 6개 영역으로 구분되는 보안 통제를 차등 적용하나. C등급은 군사, 국가안보 등 아주 민감한 정보를, S등급은 개인정보나 내부 자료 등 중요한 업무 정보를, O등급은 보도자료 등 외부에 비교적 공개된 업무가 포함된다. 각 업무정보의 등급 분류는 정보공개법, 공공데이터법 등 관련 법을 따른다. 업무별로 보안 수준이 다르기 때문에 획일적으로 망 분리를 시키는 것이 아니라 업무 중요도에 따라 서로 다른 보안 체계를 적용하는 것이 핵심이다. 업무 효율은 높이고, 유출을 막아야 할 업무 정보들은 외부로 빠져나가지 않게 분리해놓음으로써 보안성과 데이터 공유 활성화를 동시에 충족하는 것이 목표다. 기존에는 국가 및 공공기관의 어떤 업무든 인터넷 망과 완전히 분리하는 것이 효과적이었다. 망 분리를 통해 외부 침입을 원천적으로 차단할 수 있기 때문이다. ■ AI, 클라우드 등 신기술 속속 등장으로 기존 보안 정책에 변화 그러나 최근 원격 근무, 클라우드, 인공지능(AI) 도입 등으로 업무 환경이 빠르게 변화하고 있는 데 반해, 기존 망분리 체계는 내부망과 외부망 간의 데이터 이동 및 공유에 일종의 '수고로움'이 들었다. 예컨대 이미 공개된 데이터를 외부에서 내부망으로 옮길 때에도 인가된 USB를 사용하거나 특정 보안 절차를 거쳐야 했고, 업무 중 생성형 AI를 사용하고 싶어도 망이 분리돼 있어 인터넷에 접속할 수 없기 때문에 AI의 업무 활용에 한계가 있었다. 이에 AI·클라우드 등 새로운 IT 기술이 활용돼야 하는 업무 환경에서 효율이 떨어지는 문제를 개선하기 위해 국정원이 해결책을 제시한 것이다. 기존 망 분리 체계에서 내부망과 외부망에 각각 별도의 서버, 네트워크 장비 등을 구축해야 하는 비용상의 문제나 이중으로 관리해야 하는 인력적인 부담도 낮춘 방안인 셈이다. ■ 국내 보안 시장에도 큰 영향...새로운 질서 만들어질 듯 NS2F 시행은 국내 보안시장에 큰 영향을 미칠 전망이다. 우선 제품 및 솔루션 수요 구조 변화다. 전통적 망분리 하드웨어(망분리 단말·물리적 분리 솔루션) 수요는 줄어들고, 대신 데이터 분류·접근통제(데이터 DLP), ID·접근관리(IAM/Zero Trust), CASB, 보안 게이트웨이, 클라우드 보안(CSPM/CWPP), 로깅·SIEM/SOAR 등 소프트웨어·플랫폼 계열 수요가 크게 늘어날 것으로 보인다. 서비스와 컨설팅, 실증사업 기회도 확대된다. 기관별 등급분류, 위협모델링, 적절성 평가가 필수라서 보안 컨설팅·시범사업·통합관제·매니지드서비스(MSSP) 사업이 활성화될 전망이다. 초도 실증사업·파일럿 발주는 이미 진행돼왔다. 국내 보안시장에 새로운 질서가 형성되는 반면 중소·전통 보안업체에게는 불확실성이 커졌다. 요건 적응이 느린 업체는 단기적으로 타격을 받을 수 있는데, 반면 빠르게 N2SF 기준에 맞는 제품·통합 역량을 갖춘 기업은 새로운 성장 기회를 잡을 것이다. 이외에 실시간 연계(스트림), 파일 연계, API 기반 안전 연계 등 다양한 연계 방식에 대한 솔루션 및 검증 수요가 커지고 연계 보안(검증·암호화·무결성 보장) 능력이 경쟁력을 좌우하는 중요한 요소가 될 전망이다. 정부 보안 정책 패러다임이 N2SF 도입으로 '완전한 망 분리'에서 '유연한 보안'으로 전환되면서 정보 활용이 증대되고 새로운 서비스나 공공기관과 외부 기업의 협력도 늘어날 것으로 기대된다. 보안 솔루션이나 서비스를 도입하려는 수요가 늘어나면서 보안 투자가 확대되고 전체적인 보안 시장 성장세도 예상된다. 보안 서비스 및 솔루션의 수요가 높아짐에 따라 보안 업체들 간 경쟁도 심화하면서 보안 기술력도 경쟁을 통해 높아질 거라는 예측도 있다. 보안업계 관계자는 "N2SF로의 전환으로 기관발 보안 솔루션 수요가 높아지면 솔루션 공급사들끼리 경쟁하는 과정에서 기술력도 한층 발전하는 계기가 될 수 있을 것"이라고 예상했다. 염흥열 순천향대 정보보호학과 명예교수도 "N2SF 도입으로 기존 공공 영역에서 필요하지 않았던 망 연계 솔루션 외 제로트러스트 기반의 모니터링 제품 및 서비스, 보안 정책 결정을 위한 센서 정보 수집 솔루션 등 다양한 수요가 창출될 수 있다. 이 과정에서 기술력을 끌어올리기 위한 시도가 이어지면서 경쟁력이 한층 강화될 것"이라고 예상하며 "정보보호 업체 입장에서는 새로운 시장이 열릴 가능성이 있고 이를 잘 활용하면 전체적인 보안 시장의 성장세도 견인할 수 있을 것으로 보인다. 나아가 글로벌 시장에서도 시범 사업 등을 통해 이른 근거로 해외 수요를 개척할 수 있을 것"이라고 진단했다.

2025.09.06 10:16김기찬 기자

KT-프라이빗테크놀로지, 공공 보안 생태계 강화 맞손

KT가 프라이빗테크놀로지와 함께 국가망보안체계(N2SF) 기반의 공공 보안 생태계 강화를 위한 전략적 협업을 추진한다고 25일 밝혔다. 프라이빗테크놀로지는 차세대 네트워크 보안 기술 기업으로 과학기술정보통신부와 한국인터넷진흥원이 주관하는 '제로트러스트 도입 시범사업'에 선정된 바 있다. 양사는 디지털 정부 구현의 핵심 요소인 공공데이터 '활용성'과 '보안성' 확보라는 두 과제를 동시에 해결하는 데 힘을 모은다. 이번 협업을 통해 ▲N2SF 기반 보안 시스템의 공공기관 적용 ▲공공분야의 민간 AI 서비스 활용 가능성 검증 ▲공공 AX 사업 공동 제안 ▲기술 연계 및 공동 사업화 확대 등 다양한 분야에서 긴밀하게 협력할 계획이다. KT의 민관협력형 클라우드(PPP) 인프라에 프라이빗테크놀로지의 제로트러스트 기반 N2SF 보안 기술을 접목해, 공공 사업에서 차별화된 경쟁력을 갖출 것으로 기대된다. 김영랑 프라이빗테크놀로지 대표는 “공공에 적용된 네트워크는 제로트러스트 기반의 정교하고 유연한 보안 체계가 필수"라며 "공공망 보안 강화를 위한 양사의 협력이 실질적인 성과로 이어질 수 있도록 최선을 다하겠다"고 밝혔다. 유용규 KT Enterprise부문 공공사업본부장은 “이번 협력을 통해 KT의 클라우드와 AI 기술력이 공공 보안 분야에서 실질적인 가치를 창출할 수 있을 것”이라며, “프라이빗테크놀로지와의 시너지를 바탕으로 공공 AX 시장에서의 선도적 입지를 확고히 하겠다”고 말했다.

2025.07.25 11:04진성우 기자

"보안 통제 항목, 다 만들었다…이제 구현할 때"

국내 정보보호 기업 SGA솔루션즈의 최영철 대표는 “과거 보안 통제 항목을 만들었다면 이제는 이를 구현할 때”라고 말했다. 최 대표는 18일 서울 삼성동 코엑스에서 열린 '제31회 정보통신망 정보보호 학술대회(NetSec-KR)'에서 이같이 밝혔다. 넷섹은 한국정보보호학회가 초고속 정보통신망 구축 사업이 시작된 1995년부터 개최한 국내 최대 정보보호 학술대회다. 최 대표는 '국가망보안체계(N2SF) 기반 제로 트러스트(Zero Trust) 적용 방법에 대한 고찰'을 주제로 발표했다. 제로 트러스트는 '절대 믿지 말고 항상 검증하라'는 개념이다. 최 대표는 “미국 연방정부가 지켜야 할 보안 통제 항목은 2005년부터 만들어졌다”며 “통제 항목이 1천개로 굉장히 많지만 무엇을 우선할지, 어떻게 지켜야 할지 명확하다”고 설명했다. 이어 “미국 국방부는 제로 트러스트 개념이 나오자마자 이를 어떻게 적용할지 계획을 세웠다”고 전했다. 최 대표는 “SGA솔루션즈는 제로 트러스트 오버레이(overlay)를 취했다”며 “제로 트러스트 오버레이로 중복 투자를 막고 통제 항목끼리 충돌하지 않게 해 효과적으로 제로 트러스트를 도입할 수 있다”고 강조했다.

2025.04.18 16:04유혜진 기자

18년 만에 바뀐 국가망보안체계…기대감 속 과기부 'CSAP'와 혼란 여전

정부가 추진하는 국가망보안체계(N²SF) 가이드라인 초안이 공개되면서 IT 업계의 기대감이 커지고 있다. 기존 클라우드보안인증(CSAP) 제도와의 중첩 우려와 함께 정보시스템 등급 분류 기준, 통제 부문의 해석 등에 대해 모호하다는 지적이 나오고 있지만 공공 데이터 활용이 더 확산돼 사업 기회가 많아질 것이란 분석도 나온다. 24일 업계에 따르면 국정원이 지난 23일 공개한 국가망보안체계(N²SF) 가이드라인에 따르면 정부 전산망은 업무 중요도에 따라 ▲기밀(Classfied) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류된다. 이에 맞춰 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 기밀(C) 혹은 민감(S)으로 분류해야 한다. 이 외 모든 정보는 공개(O)로 나눠야 한다. 다만 즉시 전 국가 기관이 이를 전환해야 하는 것은 아니다. 국가 망 보안체계 적용은 ▲준비 ▲C·S·O 등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정 등 5단계로 추진된다. 이 중 C·S·O 등급 분류는 각급기관의 장이 맡는다. 이를 시행한다고 해도 망 분리를 즉시 없앨 필요는 없다. 'N²SF'는 기존 망분리를 폐지하는 것이 아닌 현실에 맞게 일부 개선하는 것으로, 각급기관에서 등급별 보안대책을 고려해 망분리를 유지하거나 개선할 수 있다. 국정원 관계자는 "각급기관에서 C·S·O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용 가능하다"며 "새로운 체계가 시행된다고 해도 기존 검증 제품은 해당 유효기간까지 효력도 인정된다"고 설명했다. 각급 기관은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 영역으로 구성된 '보안통제 항목'에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다. 'N²SF' 체계는 ▲인터넷 단말에서 문서편집기 등 업무에 활용 ▲업무환경에서 생성형 AI 및 외부 클라우드(SaaS) 활용 ▲연구목적 단말의 신기술 활용 등 정보서비스 모델을 마련하는 데 주로 적용된다. 국정원은 이에 대한 8개의 정보 서비스 활용 모델을 예시로 든 상태로, 향후 다양한 정보 서비스를 반영한 추가 모델도 지속해 개발·업데이트할 예정이다. 또 이를 통해 국가·공공기관 업무환경 혁신 및 편리성을 제고한다는 방침이다. 국정원은 "이번에 배포한 보안 가이드라인은 드래프트(Draft) 버전으로, 각급기관이 새로운 체계에 적용하는데 필요한 준비시간을 고려하면서 선도사업을 통해 확인된 미비점·보완사항 등을 반영하기 위해 이처럼 나섰다"며 "올해 7월에는 N2SF 보안가이드가 정식 배포·시행될 계획"이라고 설명했다. 정부는 지난해 공공부문에 적용된 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다고 보고 18년 만에 변화를 줬다. 이에 맞춰 공공 매출 비중이 큰 보안, 서비스형소프트웨어(SaaS), 클라우드 등 관련 IT 기업들은 올해 사업 전략에 이를 반영해 새로운 기회를 마련하고자 분주히 움직이는 분위기다. 업계 관계자는 "이번 초안에 따라 획일적인 망분리 정책 변화로 산업 발전과 공공데이터 활용이 더욱 확산되길 기대하고 있다"며 "이번에 공개된 망 보안체계 가이드라인에 이어 이를 활용할 클라우드 보안 가이드라인도 신속하게 개정해 실제 공공시장에서 지연되고 있는 많은 사업과 기회들이 하루 빨리 진행돼 산업 생태계가 원활히 운영되길 바란다"고 밝혔다. 또 다른 관계자는 "이번 일로 각 기업의 투자, 보안조치 강화 등의 노력이 필요할 것으로 예상된다"면서도 "신규 적용하는 국가 보안체계인 만큼 보안성, 효율성 측면 모두 적극 협조 및 대응할 것"이라고 말했다. 하지만 일각에선 이번 일로 혼선을 빚고 있는 과기정통부의 CSAP가 무용지물이 될 수 있다는 지적도 나오고 있다. CSAP 제도가 분류기준 등을 국정원의 '국가 정보보안 기본지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'에서 준용하는 만큼, N2SF 전환에 따른 영향을 받을 수밖에 없다는 입장이다. 지난 2023년부터 시행된 CSAP는 국가·공공기관에 공급할 민간 클라우드 서비스의 보안성을 검토해 부여하는 인증으로, 공급 대상 '시스템' 중요도에 따라 상·중·하 3개 등급으로 나누는 등급제다. 국정원과 과기정통부는 평가 대상과 목적부터 다르고 근거법령도 상이한 별개의 제도인 만큼 'N2SF' 도입 후에도 CSAP가 폐지·흡수되는 일은 없다고 보고 있다. 국정원은 "과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도로, 국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입 시 보안요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"며 "과기부는 각급기관 및 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라고 설명했다. 또 일각에서 N2SF, CSAP 등 각각의 제도·인증 등이 이중 심사라고 보는 점에 대해선 "국정원은 관련 법령에 근거해 국가·공공기관의 정보화사업 보안성 검토 및 검증을 실시하고 있다"며 "정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사·검토 없이 공공분야 보안기준 위주로 검증하고 있으므로 이중 심사는 아니다"고 강조했다. N2SF 보안가이드를 올해 7월 정식 배포·시행하기 전 C·S·O 등급분류 기준 등을 좀 더 명확하게 하는 한편, 미비점을 보완해야 한다는 지적도 나왔다. 업계 관계자는 "정보시스템 C·S·O 등급분류 기준과 이를 정하는 기관장의 역할, 권한 및 국정원과의 연계 부분이 보다 구체적이고 현실적인 형태로 가이드되길 바란다"며 "통제 부문의 해석에서도 '원격접속위치통제'와 같이 해석의 여지가 있는 부분 등은 보다 세밀한 해설서를 통해 혼선이 없길 기대한다"고 말했다. 국정원은 이번 일로 기존 획일적 망 분리에서 벗어나 업무 중요도별 보안통제를 차등 적용함으로써 보안성 확보와 함께 AI·클라우드 등 새로운 IT 기술을 원활히 활용할 수 있을 것으로 기대했다. 국정원은 "각급기관이 공공데이터 개방·공유 환경 구축 시 편의성이 증대되고 국민과 기업의 공공데이터 기반 서비스 활용도 증가할 것으로 전망한다"며 "이를 통해 공공데이터의 개방·활용 확대로 국가 데이터 산업 발전 및 대규모 사업 추진에 따른 국내 IT·정보보호 시장이 더욱 활성화될 것으로 기대된다"고 밝혔다.

2025.01.24 16:50장유미 기자

"18년 만에 손질"…망분리 정책 개선할 '新 국가 망 보안체계' 공개, 하반기 본격 시행

정부가 추진하는 국가망보안체계(N²SF) 가이드라인이 드디어 베일을 벗었다. 당초 내달 발표할 예정이었지만 보안업계의 불확실성 해소 등을 위해 공개 시일을 다소 앞당겼다. 정부는 지난해 공공부문에 적용된 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다고 보고 18년 만에 변화를 줬다. 이번 대책은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 통제항목으로 분류한 것이 특징으로, 기업과 기관에서 정보 중요도에 따라 보안 통제를 적용해야 할 것으로 보인다. 국가정보원은 이 같은 내용을 담은 'N²SF 가이드라인'을 23일 발표했다. 올해 1월부터 기존 획일적인 망 분리 정책에서 벗어나 데이터 활용성과 보안성을 동시에 충족하는 이 가이드라인에 맞춰 공공데이터의 공유 및 AI·클라우드 등 신기술의 공공분야 적용 활성화를 적극 추진하겠다는 방침이다. 당초 국정원은 망분리 개선 정책의 명칭을 '다층보안체계(MLS·Multi Level Security)'로 명명했으나, 정부의 망분리 개선 정책 방향성을 다 담지 못한다고 판단해 'N²SF'로 바꿨다. 특히 MLS는 1960년대 후반 문서 보안등급과 문서에 접근하려는 사람의 보안 등급을 견줘 허가 여부를 정하는 미국 국방부의 보안 정책에서 시작된 개념으로, 우리나라에서 그대로 적용하기엔 적합하지 않다는 지적도 제기돼왔다. 이 가이드라인의 핵심은 정부 전산망을 업무 중요도에 따라 ▲기밀(Classfied) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류하고, 보안통제 항목을 차등적으로 적용해 보안성과 데이터 공유 활성화를 동시에 충족하는 것이다. 이에 맞춰 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 기밀(C) 혹은 민감(S)으로 분류해야 한다. 이 외 모든 정보는 공개(O)로 나눠야 한다. 다만 즉시 전 국가 기관이 이를 전환해야 하는 것은 아니다. 국정원 관계자는 "각급기관은 시스템 규모·예산 등 기관별 상황을 고려, 신규 구축 예정 또는 내구연한 도래 시스템 등을 우선 신 체계에 맞춰 전환할 수 있다"며 "특히 대규모 시스템의 경우 단기간 내 등급분류 및 망 전환이 어려울 수 있어 우선 ISP 실시 등 면밀한 계획 수립 후 점진적으로 추진할 수 있다"고 설명했다. 국가 망 보안체계 적용은 ▲준비 ▲C·S·O 등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정 등 5단계로 추진된다. 이 중 C·S·O 등급 분류는 각급기관의 장이 맡는다. 현재도 민원인의 정보공개 청구 시 해당 정보의 공개 여부를 각급기관의 장이 판단해 결정하고 있다. 이를 시행한다고 해도 망 분리를 즉시 없앨 필요는 없다. 'N²SF'는 기존 망분리를 폐지하는 것이 아닌 현실에 맞게 일부 개선하는 것으로, 각급기관에서 등급별 보안대책을 고려해 망분리를 유지하거나 개선할 수 있다. 국정원 관계자는 "각급기관에서 C·S·O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용 가능하다"며 "새로운 체계가 시행된다고 해도 기존 검증 제품은 해당 유효기간까지 효력도 인정된다"고 설명했다. 각급 기관은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 영역으로 구성된 '보안통제 항목'에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다. 구체적으로 '권한 영역'은 정보시스템 등 접속에 대한 최소 권한 부여 및 신원 검증 등을 통해 적절한 권한을 부여하도록 한다. '인증 영역'은 다중요소 인증(Multi-Factor Authentication) 및 외부 인증수단과의 연계 등을 통해 보안성과 편리성을 고려한 다양한 인증방법을 구현하도록 설정한다. '분리 및 격리 영역'은 하드웨어·운영체제(OS)·소프트웨어 등을 활용한 '분리'와 프로세서 및 어플리케이션 접근통제 등을 통한 '격리'와 같이 보안수준에 따른 다양한 기술적 보안대책 수단을 제시한다. '통제 영역'은 인가된 데이터 전송방식 및 데이터 유형 등을 통해 정보흐름을 통제하고 기관 전산망 경계 구간에서의 접근통제와 원격접속시 보안통제를 통해 중요정보 유출 차단 및 기관 전산망 보호에 방점을 둔다. '데이터 영역'은 암호기술 적용 및 암호화 키 관리 등을 통해 안전하게 데이터를 저장·관리하도록 한다. '정보자산 영역'은 모바일 단말·하드웨어 장치·정보시스템 구성요소 등에 대한 보호방안이 주된 내용이다. 국정원은 "국가 망 보안체계의 핵심개념인 '데이터 공유 활성화'와 '보안성'을 동시 확보하기 위해 보안통제 항목의 정확한 적용이 필요하다"며 "이러한 보안통제 항목은 기술구현에 관한 각계의 의견을 수렴해가면서 최신 보안기술을 지속 반영해 나갈 예정"이라고 설명했다. 'N²SF' 체계는 ▲인터넷 단말에서 문서편집기 등 업무에 활용 ▲업무환경에서 생성형 AI 및 외부 클라우드(SaaS) 활용 ▲연구목적 단말의 신기술 활용 등 정보서비스 모델을 마련하는 데 주로 적용된다. 국정원은 이에 대한 8개의 정보 서비스 활용 모델을 예시로 든 상태로, 향후 다양한 정보 서비스를 반영한 추가 모델도 지속해 개발·업데이트할 예정이다. 또 이를 통해 국가·공공기관 업무환경 혁신 및 편리성을 제고한다는 방침이다. 국정원은 "올해 1월 이 가이드라인을 각급기관에 배포해 공공분야 담당자 이해도를 제고했다"며 "유관 협회·기관 등 산업계의 제품 개발·수출 등에 참고·지원토록 국가사이버안보센터 홈페이지에도 공개했다"고 말했다. 그러면서 "이번에 배포한 보안 가이드라인은 드래프트(Draft) 버전으로, 각급기관이 새로운 체계에 적용하는데 필요한 준비시간을 고려하면서 선도사업을 통해 확인된 미비점·보완사항 등을 반영하기 위해 이처럼 나섰다"며 "올해 7월에는 N2SF 보안가이드가 정식 배포·시행될 계획"이라고 덧붙였다. 또 국정원은 올해 상반기 중 새로운 국가 망 보안체계를 각급 기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회·과기정통부 등 관계부처와 협조해 '정보서비스 모델'을 반영한 선도사업을 추진, 안정적인 정책 확산을 유도할 계획이다. 이와 함께 단기적으로 ▲소규모 네트워크 ▲N2SF 적용이 용이한 사업 ▲올해 계획된 망분리 사업 등 즉시 추진 가능한 정보화 사업은 새로운 보안체계를 우선 적용키로 했다. 또 중장기적으로 정보화전략계획(ISP) 수행 및 기재부 등 관계부처 검토가 필요한 대규모 시스템은 예산, 재구축 소요기간 등 고려해 단계적으로 전환키로 했다. 또 국정원은 상반기 중 선도사업 등을 통한 안전성 검증 및 N2SF 조기 도입 희망기관 대상 컨설팅 등 각급기관이 새로운 정책 적용에 차질이 없도록 밀착 지원한다는 방침이다. 올해 하반기에는 보안가이드 미비점을 보완한 후 정식 배포 등 정책도 본격 시행할 계획이다. 다만 일각에선 N2SF 정책 시행으로 국내 업계에 불리할 것으로 보는 시각도 있다. 이에 국정원은 글로벌 스탠다드 및 해외 사례 등을 참조해 보안정책을 수립해 문제 없다는 입장이다. 또 다수가 공감할 수 있는 정책 시행을 위해 각계 전문가·협의체 등을 통해 의견 수렴 및 공감대 형성 등에 나서고 있다는 점도 피력했다. 또 과기정통부의 클라우드 보안인증제(CSAP)와 혼선이 빚어지고 있는 부분에 대해서도 명확하게 선을 그었다. 지난 2023년부터 시행된 CSAP는 국가·공공기관에 공급할 민간 클라우드 서비스의 보안성을 검토해 부여하는 인증으로, 공급 대상 '시스템' 중요도에 따라 상·중·하 3개 등급으로 나누는 등급제다. 일단 국정원과 과기정통부는 평가 대상과 목적부터 다르고 근거법령도 상이한 별개의 제도인 만큼 'N2SF' 도입 후에도 CSAP가 폐지·흡수되는 일은 없다고 보고 있다. 그러나 업계에선 CSAP 제도가 분류기준 등을 국정원의 '국가 정보보안 기본지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'에서 준용하는 만큼, N2SF 전환에 따른 영향을 받을 수밖에 없다는 입장이다. 이에 N2SF 발표에 맞춰 CSAP 개편도 이뤄져야 한다고 판단하고 있다. 이에 대해 국정원은 "과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도로, 국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입 시 보안요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"며 "과기부는 각급기관 및 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라고 설명했다. 또 일각에서 N2SF, CSAP 등 각각의 제도·인증 등이 이중 심사라고 보는 점에 대해선 "국정원은 관련 법령에 근거해 국가·공공기관의 정보화사업 보안성 검토 및 검증을 실시하고 있다"며 "정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사·검토 없이 공공분야 보안기준 위주로 검증하고 있으므로 이중 심사는 아니다"고 강조했다. 국정원은 이번 일로 기존 획일적 망 분리에서 벗어나 업무 중요도별 보안통제를 차등 적용함으로써 보안성 확보와 함께 AI·클라우드 등 새로운 IT 기술을 원활히 활용할 수 있을 것으로 기대했다. 국정원은 "각급기관이 공공데이터 개방·공유 환경 구축 시 편의성이 증대되고 국민과 기업의 공공데이터 기반 서비스 활용도 증가할 것으로 전망한다"며 "이를 통해 공공데이터의 개방·활용 확대로 국가 데이터 산업 발전 및 대규모 사업 추진에 따른 국내 IT·정보보호 시장이 더욱 활성화될 것으로 기대된다"고 말했다.

2025.01.23 17:09장유미 기자

Prev 1 Next