국가 망 보안체계(N2SF) 시대 본격화: ‘국가 사이버보안 기본지침’ 개정으로 달라지는 공공 보안

https://www.igloo.co.kr/security-information/%eb%b3%b4%ec%95%88-101-%ea%b5%ad%ea%b0%80-%eb%a7%9d-%eb%b3%b4%ec%95%88%ec%b2%b4%ea%b3%84n2sf-%ec%8b%9c%eb%8c%80-%eb%b3%b8%ea%b2%a9%ed%99%94-%ea%b5%ad%ea%b0%80-%ec%82%ac%ec%9d%b4%eb%b2%84/

[보안 101] 국가 망 보안체계(N2SF) 시대 본격화: ‘국가 사이버보안 기본지침’ 개정으로 달라지는

 

 

국가정보원은 최근 '국가 사이버보안 기본지침' 개정안을 발표해, 국가 망 보안체계(N2SF)를 공식 반영하고 정보 중요도에 따라 보안 수준을 차등적으로 적용하는 공공 보안 정책 개편을 시작했습니다. 

 

https://www.ncsc.go.kr/template/resources/file/nis_guide_lines_2023_1_31.pdf

[국가 사이버보안 기본 지침]

 

왜 지금 공공 보안 정책이 바뀌고 있을까?

지금까지의 국가 공공기관의 보안 체계는 망 분리 정책을 중심으로 운영되어 왔다.

*망 분리: 내부 업무망과 외부 인터넷망을 물리적으로 분리하는 것 

• 장점: 외부 인터넷의 침입 가능성을 원천적으로 줄일 수 있음 --> 높은 보안성

 

최근 IT 환경은  생성형 AI, 클라우드, SaaS 기반 협업 환경, 원격근무 등 새로운 업무 방식이 확산되면서 기존의 망 분리 정책만으로는 변화하는 업무 환경을 수용하기가 어려워졌다. 특히 공공기관 역시 AI 기반 업무 혁신과 클라우드 활용 수요가 증가하면서, 보안을 유지하면서도 새로운 기술을 활용할 수 있는 방향에 대한 요구가 커지고 있다.

 

즉, 국정원에서는 차단 중심 ---> 차등 적용 으로 체계를 바꾸고 싶어 한다.

 

 

N2SF 기반 보안 체제

개정안의 핵심: N2SF를 국가 사이버보안 기본지침에 공식적으로 반영한 점

실제 개정 지침의 내부망과 인터넷망 분리를 규정하던 기존 조문이 삭제되고, 「국가 망 보안체계(N2SF)」조항이 신설되며 업무정보의 등급 식별과 처리, 정보시스템 위치, 보안통제 등에 관한 기준이 새롭게 포함되었다.

 

업무 정보를 중요도에 따라 기밀등급(Classified)·민감등급(Sensitive)·공개등급(Open)으로 구분하고, 각 등급에 따라 서로 다른 보안 통제를 적용하게 됩니다.

 

즉 망 분리 <<<<  어떤 정보를 어떻게 보호할 것인가

로 보안 정책의 기준이 이동하고 있다.

 

• 기밀등급(C): 국가 안보나 정책에 영향을 줄 수 있는 핵심 정보

군사, 외교, 안보 등 국가적으로 민감한 정보로, 기존과 동일하게 외부망을 완전히 분리한 환경에서만 처리한다. 인터넷 및 클라우드 사용 역시 원칙적으로 제한한다.

 

• 민감등급(S): 내부 정책 검토 자료, 의사결정 과정 자료, 일부 개인정보와 같은 정보는 암호화·접근통제 등 필요한 보안 요건을 충족할 경우 외부망이나 클라우드 환경에서도 활용할 수 있다.

 

• 공개등급(O): 일반 인터넷 환경과 상용 클라우드 활용이 가능한 영역

이미 공개된 보도자료나 공공데이터와 같이 외부 공개가 가능한 정보는 민간과 유사한 형태의 업무 환경에서 보다 유연하게 활용될 가능성이 커지고 있다.

 

 

 

하지만 이러한 방식은 현장의 판단 역량이 매우 중요하게 작용할 수 밖에 없다. 기관이 업무정보를 어떤 기준으로 분류하느냐에 따라 제도의 실효성과 운영 방향이 크게 달라질 수 있기 때문이다.

 

정보의 중요도와 활용 목적, 접근 환경 등을 종합적으로 고려해 보호 수준을 정교하게 설계하는 데이터 중심 보안 체계로 공공 보안 운영 방향이 이동하고 있다는 것을 뜻한다.

 

 

 

(출처: 국가정보원 ‘국가 망 보안체계(N2SF) 보안가이드라인 1.0’)

 

 

(출처: 국가정보원 ‘국가 망 보안체계(N2SF) 보안가이드라인 1.0’)