보안

[CSK 2024] 국가망 다중보안체계 로드맵 공개…"8개 과제 추진, 2026년 정책 전환"

김보민 기자

-업무 중요도에 따라 C/S/O 등급 적용…가이드라인 준비

-공공 '챗GPT 활용' 코앞업무 환경에서 생성형 AI 활용

-"디지털 고속도로 만드는 일, 디지털플랫폼정부 구현에 기여"

신용석 국가안보실 사이버안보비서관이 11일 서울 강남구 코엑스 'CSK 2024' 현장에서 참관객과 대화를 나누고 있다.
신용석 국가안보실 사이버안보비서관이 11일 서울 강남구 코엑스 'CSK 2024' 현장에서 참관객과 대화를 나누고 있다.

[디지털데일리 김보민기자] 국가 망분리 개선안의 핵심인 '다중보안체계(MLS)'가 베일을 벗었다. 업무 중요도에 따라 데이터를 3등급으로 나누고, 이에 따른 보안 대책을 마련하는 것이 핵심이다.

체계 추진에 대한 구체적인 로드맵도 공개됐다. 올해 국가 정보보안에 특화된 지침과 가이드라인을 마련하고, 2026년 정책 전환이 추진된다. MLS로 전환하는 데 필요한 정보서비스모델 과제도 병행될 예정이다.

◆ 중요도에 따라 정보시스템 C/S/O 분류…5단계 적용 절차 공개

국가정보원(이하 국정원)은 11일 서울 강남구 코엑스에서 열린 '사이버서밋코리아(Cyber Summit Korea·CSK) 2024'에서 국가 망보안 정책 개선 로드맵을 공개했다.

그간 베일에 싸였던 MLS 추진 내용을 공식화한 것이다. 국정원은 올해 국가정보보안지침과 보안 가이드라인을 제정 및 개정하고, 내년 상반기 기관을 대상으로 지침을 공표한다. 내년 하반기에는 가이드라인 개발을 지속해 2026년 이후에는 정책 전환에 돌입한다.

발표를 진행한 국정원 정책담당관(이하 관계자)은 "(국가 망보안 개선안은) 확정된 사안이 아닌, 마무리 단계"라며 "각계 의견을 수렴해 확정된 사안을 공표하는 것이 목표"라고 밝혔다. 국정원은 올 초부터 디지털플랫폼정부위원회, 금융위원회, 개인정보보호위원회 등 관계 기관 및 산학연과 '국가망보안정책 태스크포스(TF)'를 구성해 대책을 마련하고 있다.

국정원에 따르면 MLS는 국가 전산망의 업무정보 중요도에 따라 ▲기밀(Classified·C) ▲민감(Sensitive·S), ▲공개(Open·O) 등급으로 분류된다. 등급별 차등적 보안통제로 보안성을 확보하고, 원활한 데이터 공유 달성을 가능하게 한다는 취지다.

C등급과 S등급은 비공개 정보로, 정보공개법 및 공공데이터법 등에 따라 각급 기관이 지정한 비공개 정보를 포함한다. 세부적으로 C등급은 비밀, 안보·국방·외교·수사 등 기밀정보, 국민생활·생명·안전과 직결된 정보가 해당된다. S등급은 개인 및 국가이익 침해가 가능한 정보를 뜻한다.

C, S등급과 달리 O는 공개 정보에 속한다. 모든 정보를 비롯해 가명 처리 등을 조치한 행정·민감정보도 O등급에 속한다. 국정원 관계자는 "망분리 정책이 MLS로 개선되면 차등적인 보안 통제를 적용할 수 있고 인터넷과 단절 없이 연결되는 환경이 올 것"이라고 말했다.

다중보안체계 적용 절차는 ▲준비 ▲C/S/O 등급 분류 ▲정보서비스 모델링(C/S/O 평가) ▲보안대책 수립 ▲적절성 평가 및 조정 등 5단계로 구성됐다. 위협관리프레임워크(RMF) 및 제로트러스트 등을 기반으로 국내 여건을 반영해 최적화했다고 국정원을 설명했다.

모델 CSO를 평가한 뒤 이동이 필요할 때에는 단계에 따라 조치를 취해야 한다. 일례로 동일 등급 또는 상위 등급에서 생산과 저장은 가능하지만, 하위등급에서의 생산과 저장은 보호조치가 반드시 필요하다. 동일 등급 또는 상위 등급으로 이동은 가능하지만, 하위 등급으로 이동할 때에는 보호조치가 선행돼야 한다. 상위 등급에서 하위로 내려갈 시 그에 걸맞은 보안대책이 필요하다는 의미다.

일각에서는 대부분 기관이 중요 정보를 C 혹은 S로 분류해 MLS 적용에 대한 효과가 떨어지는 것이 아니냐는 시각도 나온다. 이와 관련해 국정원 관계자는 "과도하게 상위 등급으로 분류될 수 있어, '등급별 분리'를 권고한다"고 말했다. 만약 같은 S와 O가 같은 시스템에 분류될 경우에는, 상위 등급에 맞춰 정보시스템 등급을 분류해야 한다.

다중보안체계 적용 절차 [ⓒ국가정보원]
다중보안체계 적용 절차 [ⓒ국가정보원]

◆ 공공도 챗GPT 쓴다…8개 추진 과제 중 2개 'AI'

국정원은 이날 MLS로 전환하기 위해 정보서비스 모델링 과정을 거칠 때 추진할 8개 과제를 공개했다. 이 가운데 인공지능(AI)에 특화된 과제는 2개로, 공공 또한 업무 단말에서 관련 서비스를 사용할 수 있게 될 전망이다.

먼저 공공데이터의 외부 AI 융합을 추진한다. 디플정위, 행정안전부 등 관계기관이 추진하는 범정부 초거대 AI와 공공데이터를 융합해, 민간에서도 공공데이터를 활용할 수 있도록 기회를 확대한다는 구상이다.

업무 단말에서 생성형 AI 서비스에 온라인 접속하는 과제도 포함됐다. 국정원 관계자는 "현재 공공 업무 단말은 인터넷과 끊어져 있어 생성형 AI를 활용하는 데 제약이 있다"며 "MLS로 전환하면 업무 영역이 아닌 인터넷망과 연결돼, 업무 직접 활용이 가능해질 것"이라고 말했다.

인터넷 단말의 업무 효율성도 제고한다. 인터넷 단말에서 문서 편집기, 협업용 소프트웨어, 클라우드 등을 사용해 업무에 활용할 수 있도록 한다는 구상이다. 여기에는 공공에서 필요한 기타 소프트웨어도 포함된다.

외부 클라우드를 활용해 업무협업 체계도 고도화한다. 업무 단말에서 생산, 효율성 제고에 필요한 외부 클라우드 협업도구(SaaS)를 활용하는 것이 골자다.

업무 단말 인터넷 이용도 추진 과제에 포함됐다. 업무 단말 운영체제(OS)의 악성코드 감염 차단 환경에서, 필요한 인터넷 서비스에 접속한 뒤 업무에 활용할 수 있게 된다.

연구 목적 단말의 신기술 활용도 핵심이다. 이러한 환경에서는 국내외 제한 없이 연구에 필요한 신기술을 활용할 수 있다. 이 밖에도 인터넷에 접속해 개발에 필요한 오픈소스 등 활용을 가능하게 하고, 필요시 원격 개발을 수행하는 내용도 담겼다. 클라우드 기반 통합 문서 체계도 구현한다.

국정원은 내년부터 디플정위 주관으로 8개 추진과제를 시범 사업으로 추진하고, 원은 보안통제 실효성 및 안정성을 검증할 계획이다.

국정원 관계자는 "(국가 망보안 개선은) 디지털 고속도로를 만드는 것과 같다"며 "디지털플랫폼정부 구현에 기여할 것으로 기대한다"고 강조했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널