새롭게 선보인 국가 망 보안체계(N²SF)

 

 우리나라는 2006년부터 국가‧공공기관 대상 망 분리 정책이 시행되었고, 이는 금융 및 방산 기관 등으로 확대되었다. 

 망 분리정책은 강력한 보안효과를 보이며, 실제로 2017년 전 세계를 강타한 랜섬웨어 공격에도 국내 피해가 적었던 이유는 망 분리 정책의 효과 때문이라고 많은 전문가들은 얘기한다.

 하지만, 시대는 빠르게 변화하고 있으며 망 분리 정책의 단점으로 인해 업무 효율성 하락과 신기술 적용 불가능 등 크고 작은 문제가 꾸준히 발생하고 있다.

 이에 국가정보원은 국가 망 보안정책 TF를 구성해 국가 망 보안체계(N²SF)를 수립하였다. 1/23 발간된 가이드라인을 기초로, 국가 망 보안체계가 무엇인지 알아보고자 한다.

  

1. 국가 망 보안체계 추진 배경

 공공분야의 업무망은 안전성 확보를 위해 망 분리 정책을 적용하여 보안 위협에서 공공기관 시스템을 안전하게 보호하는 역할을 하고 있다.

 망 분리의 핵심은 민감한 데이터를 다루는 내부망(업무망)을 일반 인터넷망과 분리 운영하여 인터넷을 통한 불법적인 접근이나 정보유출 등 외부로부터 사이버 위협을 원천으로 차단하는 목적이다.

 망 분리 정책은 국내 보안 정책의 근간으로 자리 잡아 왔으며, 매우 강력한 보안 효과를 보인다.

 그러나 최근 원격근무, 클라우드, 생성형 AI등 IT환경의 급격한 변화로 인해 인터넷과 단절된 망 분리 환경에서는 업무를 효율적으로 수행하기 어려워지고 있으며, 공공데이터 같은 신기술 활용에 어려움이 있는 문제점이 있다. 

 이에 데이터중요도에 따라 등급을 차등화 하는 국가 망 보안체계가 나오게 되었다.

 

2. 국가 망 보안체계 정의

  국가 망 보안체계(National Network Security Framework)는 업무 중요도에 따라 국가 전산망을 

기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open) 3개 등급으로 분리하여 등급별로 구분해 기존 네트워크 기반의 ‘경계중심’에서 벗어나 ‘데이터 중요도 중심’으로 보안 기준을 재편하고 

데이터의 중요도에 따라 보안 등급을 분류하여 망 관리 체계를 차등화 하여 관리하는 방식이다.

 

 

 

정보 분류		분류 기준	상세 분류 내용
비공개 정보	기밀정보(C)	비밀, 안보·국방·외교·수사 등 기밀정보 국민생활·생명·안전과 직결된 정보	제1호 : 법령상 비밀, 비공개 정보 제2호 : 안보·국방·통일·외교 관련 정보 제3호 : 국민의 생명·신체·재산보호 침해 관련 정보 제4호 : 재판·수사 등 관련 정보
	민감정보(S)	비공개 정보 개인·국가 이익 침해가 가능한 정보	제5호 : 감시·감독·계약·의사결정 관련 정보 제6호 : 이름·주민번호 등 개인정보 제7호 : 법인의 경영·영업비밀 정보 제8호 : 부동산 투기·매점매석 등 관련 정보 기타 : 로그 및 임시백업
공개 정보	공개정보(O)	이외 모든 정보 가명처리 등 조치한 행정·민감 정보	공공데이터법(제2조)에 따른 공공데이터로 기밀·민감정보 이외 모든 정보 가명처리 등 관련 법 등에서 규정하는 요건을 만족하는 행정·민감 정보

 

 

3. 국가 망 보안체계 준비사항

국가 망 보안체계는 총 다섯 단계로 구성되며 각 절차는 수행기관에서 준비해야 한다.

1) 준비단계

국가 망 보안체계 전체 절차를 위한 기초 데이터를 수집하고 N²SF 적용계획을 수립하는 단계이다.

 

2) C/S/O 등급분류 단계

준비 단계에서 식별된 업무정보 정보시스템에 관한 C/S/O 등급을 분류하는 단계이다.

 

3) 위협식별 단계

업무정보 정보시스템으로 구성되는 정보서비스에 대한 모델링, C/S/O 평가, 보안원칙 적용을 통해

발생 가능한 위협과 보안대책이 필요한 정보서비스 구성요소를 식별하는 단계이다.

 

4) 보안대책 수립 단계

위협식별 결과에 따라 업무정보 및 정보시스템에 대한 적절한 보안통제 항목을 선택한다.

C/S/O 보안등급별 보안통제 기준선을 활용해서 보안등급에 따른 필요 보안통제 항목을 선택할 수 있고, 

기관의 특성 및 정보시스템 환경을 반영한 N²SF 적용계획 등에 따라 보안통제의 제외, 수정, 추가 등 조정이 가능하다.

 

5) 적절성 평가, 조정 단계

앞선 네 단계의 산출물들을 분석하여 단계별 활동이 적절하게 수행되었는지 확인하고 평가한다. 만약 미흡한 부분이 발견되면 보완한다.

최종적으로 적절성 평가 결과를 승인함으로써 국가 망 보안체계 적용의 모든 절차가 종료된다.

이후 국가정보보안기본지침에 따른 국가정보원 보안성 검토를 시행하게 된다.

 

4. 국가 망 보안체계 적용 시 향후 전망

1)업무 효율성 향상

망 분리로 인해 AI 및 클라우드를 사용하지 못했던 기관에서 해당 기술사용이 가능함에 따라 업무 자동화가 가속되고, 협업 효율성이 향상될 것으로 보인다.

 

2)규제 및 인증 간소화

국가 망 보안체계로 인해 클라우드 보안 인증(CSAP) 절차가 간소화 되면서 보안 인증을 효율적으로 관리할 수 있는 체계가 마련될 것이다.

이에 따라 인증 절차를 정비하고, 새로운 보안 기준을 적용할 수 있는 체계를 준비해야 한다.

 

3)보안 위협 증가

 외부 망과의 연결이 증가함에 따라 해킹 및 데이터 유출 위험이 커질 수 있다. 이를 방지하기 위해 제로트러스트 보안 모델을 적용하고, 최신 기술을 도입해 보안 위협 모니터링을 강화해야 한다

  

 약 20년간 지속된 정책을 변경하는 것은 어려운 일이며 초기에는 생각지 못했던 문제점도 발생할 것으로 예상된다. 

 하지만 국가 망 보안체계는 빠르게 변화하는 IT 환경과 보안 위협에 효과적으로 대응하기 위한 중요한 전환점을 의미한다.

 망 분리 정책의 한계를 극복하고, 데이터 중요도에 따라 차별화된 보안 관리를 통해 공공기관의 업무 효율성과 신기술 활용이 가능해 지는 등 긍정적인 효과가 기대된다.

 하지만, 외부 망과의 연결이 증가하면서 보안 위협도 커질 수 있는 점은 반드시 해결해야 할 과제이다. 

 제로트러스트 보안 모델을 비롯한 최신 보안 기술을 적극적으로 적용하고, 지속적인 보안 모니터링 체계를 강화해야 한다. 또한, 보안 인증 절차의 간소화와 효율적인 관리 체계 수립이 중요해질 것이다.

 향후 국가 망 보안체계가 더욱 더 발전하여 더 나은 보안 환경과 효율적 업무수행이 가능하게 되기를 기대한다.