N2SF란 무엇인가요?

https://www.igloo.co.kr/security-information/%eb%b3%b4%ec%95%88101-n2sf%eb%9e%80-%eb%ac%b4%ec%97%87%ec%9d%b8%ea%b0%80%ec%9a%94/

[보안 101] N2SF란 무엇인가요?

 

 

 

01. N2SF의 등장

기존 망 분리 정책: 인터넷 사용이 가능한 인터넷망과 인터넷을 단절시킨 내부망을 분리하는 것 

문제점: 원격근무, 클라우드 사용, 생성형 AI 도입 등 최근 IT 환경에 적응하는 데 한계가 있음

 

개선 정책: 국가 망 보안체계 (National Network Security Framework, N2SF)
업무정보의 중요도에 따라 보안 통제를 차등 적용하여 보안성 확보와 원활한 데이터 공유의 목적을 동시에 달성하는 정책

 

=> 기존의 망 분리 정책에서 벗어나 N2SF 정책은 급격하게 변화하는 IT 시대에 맞는 정책이라 할 수 있음

 

02. N2SF의 전체적인 흐름

 

[그림 2] N2SF와 국가·공공기관 정보보안 업무의 관계 (출처: 국가정보원)

정보보안 업무:  정보의 유출, 변조, 훼손 등의 사고를 방지하기 위한 모든 관리적·물리적·기술적 행위와 관련된 업무

- 국가·공공기관이 운영하는 다양한 정보서비스를 통해 관리됨

- N2SF는 보안통제를 통해서 정보서비스에 대해 요구되는 보안 수준을 확보하는 역할을 함



03. N2SF 적용을 위한 5단계 절차
준비, C/S/O 등급분류, 위협식별, 보안대책 수립, 적절성 평가·조정의 5단계를 순서대로 진행하고, 각 단계별로 나온 산출물로 국가정보원에 보안성 검토를 요청하여 통과되어야 함

(1) 준비 단계
- 기관의 업무·기능을 분석 및 업무정보·정보시스템·정보서비스 현황을 식별

- 이후 절차에 필요한 기초적인 정보 확보 &  N2SF 적용 계획을 수립
*업무정보: 국가·공공기관의 기능을 위한 업무를 수행하는데 필요한 정보 또는 업무 수행 결과로 생산되는 정보

**정보시스템: 업무정보의 생성·저장·처리·이동·보관 ·폐기 등에 관여하는 시스템

(2) C/S/O 등급분류 단계
- 준비 단계에서 식별한 업무정보 및 정보시스템에 대해서 업무 중요도에 따라 등급을 C(Classified: 기밀), S(Sensitive: 민감), O(Open: 공개)로 분류

- 업무정보의 등급 분류는 정보공개법, 공공데이터법 등을 따름

- 정보시스템의 등급 분류는 기본적으로 업무정보의 등급에 따라 결정됨

(3) 위협식별 단계
- 정보서비스를 구성하는 정보시스템 식별

- 정보서비스의 기능 및 정상적인 사용 시나리오에 따른 구성요소 분석

-  C/S/O 평가를 통해 위협을 식별하고 보안대책 적용지점을 판단

「위치-주체-객체」 모델링
주체는 업무정보·정보시스템을 활용하는 주체(이용자), 위치는 주체가 위치한 물리적 영역, 객체는 주체가 접속하는 대상을 의미
「위치-주체-객체」 모델링은 복잡한 정보서비스 구성환경을 '위치', '주체', '객체' 세 요소로 나누어 구조화(단순화)하는 기법

 

(4) 보안대책 수립 단계
- 위협식별 단계의 결과를 기준으로 각 업무정보·정보시스템에 필요한 보안통제를 선택하고 구현계획을 수립

(5) 적절성 평가·조정 단계
각 단계에 대한 산출물을 통해 적절성을 평가 및 재조정하고 승인하는 과정

 

04. N2SF의 보안통제 항목 예시

보안통제는 크게 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산으로 분류됨

(1) 권한·인증
- 권한: 사용자 신원 증명과 고유 식별자 및 계정 관리를 통해 최소 권한 원칙을 적용하여 시스템 접근을 통제함
- 인증: 다양한 수단과 다중요소 인증, 외부 연계 및 식별을 통해 사용자 신원 지속적 확인 및 인증 과정 전반의 보안을 강화

(2) 분리 및 격리
- 분리 및 격리: 정보서비스와 업무정보를 보안 등급에 따라 구분/ 하드웨어, 소프트웨어, 운영체제 등 각 영역의 독립성을 확보 / 프로세스와 애플리케이션의 접근을 통제하여 상호 간섭과 무단 접근 방지

(3) 통제·데이터
- 통제:  정보시스템의 경로, 경계, 원격접속, 세션, 무선 통신망, 블루투스 등 다양한 영역에서 접근 및 정보 흐름을 관리·제어하여 비정상적인 접근과 민감 정보 유출을 방지함

- 데이터: 암호 키 관리, 검증된 암호기술, 안전한 전송 및 사용 중 보호를 통해 데이터가 사용되는 모든 단계에 다양한 보안조치를 적용하여 기밀성과 무결성을 유지함

(4) 정보자산
- 정보자산: 모바일 단말, 하드웨어, 정보시스템 구성요소 전반에 걸쳐 인가, 모니터링, 체계적인 목록화 및 갱신,  불필요한 기능 통제를 통해 무결성과 안전한 사용을 보장함



05. N2SF 적용 이점 및 기대 효과

(1) 클라우드를 활용한 업무 속도 개선
N2SF 적용 후 내부망과 외부망이 허용된 범위 안에서 자유롭게 데이터를 주고받을 수 있는 환경이 만들어져서 클라우드를 통해 업무 자료를 주고받을 수 있게 됨

-> 담당자A는 망 간 업무 자료를 주고받을 때의  업무 속도가 빨라졌음

(2) 생성형AI를 활용한 업무 효율성 향상
N2SF가 적용 후 연구원 B는 지정된 생성형 AI를 활용하여 N2SF 보안 환경 내에서 자신의 업무를 수행할 수 있게 됨

-> 생성형 AI의 도움으로 보고서 작성이나 자료 요약, 아이디어 도출 및 구체화 과정에서 다양한 정보를 얻어 업무 생산성 증가

N2SF 정책이 가져올 기대 효과
(1) 보안성 유지 + 공공정보의 활용성 = 새로운 서비스를 창출

(2) N2SF를 적용한 IT 인프라를 구축함으로써 클라우드 기반 협업 환경 조성을 통한 업무 효율성 증가, ChatGPT 등 AI 활용을 통한 업무 속도 개선 등 미래지향적인 신기술·서비스와의 손쉬운 통합 및 확장