국가망보안체계 예고편 나왔다…'N²SF 가이드라인' 초안 공개
[디지털데일리 김보민기자] 공공기관이 망분리 환경을 개선할 때 고려해야 할 '국가망보안체계(National Network Security Framework·N²SF) 가이드라인'이 공개됐다. 이번 가이드라인은 초안(draft) 버전으로, 정식 안내서는 올해 7월 나올 예정이다.
국가정보원(이하 국정원)은 N²SF 가이드라인을 각급 기관에 배포했다고 23일 밝혔다. 유관협회와 기관들이 참고할 수 있도록 국가사이버안보센터 홈페이지에도 자료를 공개했다.
지난해 9월 '사이버서밋코리아(CSK) 2024' 행사를 통해 국가망보안 정책 개선 로드맵을 공개한 이후 약 4개월 만이다. 국정원은 공공분야 내 인공지능(AI) 및 클라우드 신기술 활용 활성화를 위해 지난해 1월부터 망개선 작업을 추진한 바 있다.
국정원은 이번 가이드라인을 초안 버전으로 공개한 이유에 대해 "각급 기관의 신(보안)체계 적용에 필요한 준비 시간을 고려하면서, 선도 사업을 통해 확인된 미비점과 보완사항을 반영할 것"이라며 "올해 7월 N²SF 보안 가이드를 정식 배포해 시행할 계획"이라고 말했다.
이번 가이드라인 초안은 본문과 부록 1·2로 구성됐다. 부록에는 보안통제 항목 해설서와 정보서비스 모델 해설서가 포함됐다.
본문에는 N²SF의 핵심 개념이 담겼다. N²SF는 정부 전산망을 업무 중요도에 따라 기밀(C), 민감(S), 공개(O) 등급으로 분류하고, 보안통제 항목을 적용해 보안성과 데이터 공유 활성화를 동시에 충족하는 데 초점을 두고 있다. C 등급은 엄격 통제, S 등급은 제한 접근, O 등급은 활용 우선이 가능하도록 보안 체계를 차등 적용하는 방식이다.
각급 기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 C·S로 분류할 수 있다. 이외 모든 정보는 O로 분류된다. C는 비밀, 안보, 국방, 외교, 수사 등 기밀 정보가 해당된다. S는 개인과 국가 이익을 침해할 수 있는 내용이 포함된다. O는 기밀 및 민감 정보를 제외한 모든 정보를 뜻한다.
이번 가이드는 N²SF 적용 순서를 상세 안내한 것이 특징이다. 적용 순서로는 ▲준비 ▲C·S·O 등급 분류 ▲위협 식별 ▲보안대책 수립 ▲적절성 평가 및 조정 등 5단계가 제시됐다. 다섯 단계가 끝난 뒤에는 N²SF 산출물을 가지고 국정원 보안성 검토를 거쳐야 한다는 점이 명시됐다.
준비 단계는 새 보안체계 운용에 필요한 기초 정보를 수립하고 제반 활동을 마련하는 시점으로 표현됐다. 기관 업무와 기능을 분석하고 업무 정보 및 정보 시스템을 식별하는 단계다. N²SF 적절성을 평가하기 위한 자체 심의위원회를 구성할 필요가 있다는 점도 포함됐다.
그 다음 C·S·O 등급을 분류하면, 서로 다른 보안등급 간 위협 요소를 식별할 모델링을 수립하는 단계가 필요하다고 적시됐다. 정보서비스 위협 모델링을 수행할 경우, 서로 다른 보안 등급이 식별돼 보안대책 적용 지점을 도출하거나 보안통제 기준선과 통제 항목을 선택할 수 있게 될 전망이다.
위협을 평가한 뒤 적절한 보안통제를 선택하기가 어렵다는 공공분야 내 우려사항을 고려한 것으로 보인다. 공공의 경우 교육, 과학, 치안, 복지 등 부문이 다양한 만큼, 업무 정보를 저장하고 처리 시스템도 각기 다르다.
가이드라인 초안은 이후 보안통제 기준선을 활용하고, 전체 단계에서 요구되는 활동이 이뤄졌는지 산출물을 살펴보는 적절성 평가 단계가 이어져야 한다고 제시했다.
가이드라인 부록에는 보안통제 항목에 대한 설명이 포함됐다. 보안통제 항목은 C·S·O 등급에 따라 차등 적용할 보안 대책을 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 총 6개 영역으로 구분했다. N²SF 적용을 통해 공공부문의 정보화 체계를 변화시킬 수 있는 정보서비스 모델을 발굴하는 취지의 내용도 담겼다.
한편 국정원은 각급 기관이 이번 발표 내용을 조기 적용할 수 있도록 '정보서비스 모델'을 반영한 선도사업을 추진할 계획이다. 이 과정에서 디지털플랫폼정부위원회, 과학기술정보통신부(이하 과기정통부) 등 관계부처와 협력한다.
이 밖에도 정보화전략계획(ISP)을 수행하고, 기획재정부(이하 기재부) 등 관계부처 검토가 필요한 대규모 시스템에 대해 단계적으로 전환을 추진할 방침이다. 조기 도입을 희망하는 기관을 대상으로 컨설팅 등도 지원한다.
정부부처, ‘AI 각개전투’...“정책도 선택과 집중 필요해”
2025-01-24 07:00:00신호탄 쏜 국가망보안개선…'제로트러스트 확산' 촉매제 될까
2025-01-24 00:00:00네덜란드 정부 "트럼프, ASML 수출통제 압박 강화 우려"
2025-01-23 18:51:32고려아연, 임시 주총서 영풍 보유 주식 의결권 제한…영풍 측 '당혹'
2025-01-23 17:25:55[DD퇴근길] '탄핵 기각' 이진숙, 직무 복귀…갤S25, AI폰 입지 굳힌다
2025-01-23 17:16:19