2025년 달라지는 국가 망 보안체계, 어떻게 준비해야 하나?
투이컨설팅 디지털연구소
2025년부터 새로운 국가 망 보안체계(National Network Security Framework, N²SF)가 시행 예정입니다. 공공분야 정보기술 환경 변화와 국내 보안업계의 사업 전략에도 영향을 미칠 것으로 예상되는데요. 기존의 망 분리 규제가 어떻게 바뀌는지 기관과 기업의 보안 체계 적용 절차와 준비사항을 알아보겠습니다.
1. 기존 망 분리 정책과 변화의 필요성
망 분리는 2006년 ‘국가 사이버 안전 전략회의’에서 처음 제안되어, 2007년 국가정보원의 ‘국가·공공기관 망 분리 지침’, 2008년 ‘망 분리 가이드’와 2010년 ‘국가·공공기관의 안전한 자료전송’ 가이드가 연이어 나오면서 공공기관에서 본격적으로 망 분리를 도입하기 시작하였습니다.
금융권에서는 지난 2013년에 발생했던 ‘금융회사 대규모 전산망 마비 사태’를 계기로 공공부문의 물리적 망 분리를 금융권에 적용하였습니다. 망 분리는 업무망과 인터넷망을 물리적 또는 논리적으로 완전히 분리해서 인터넷을 통한 외부공격을 원천적으로 차단하는 비교적 손쉬운 보안 수단이며, 외부공격에 차단 효과가 매우 높은 보안입니다.
하지만 최근 원격근무, 클라우드, 생성형 AI 등 IT 환경의 급격한 변화로 인해 인터넷과 단절된 망 분리 환경에서는 효율적인 업무수행이 어려워지고 있으며, 공공데이터의 활용 측면에서도 제약이 많아 달라진 업무 환경과 신기술을 반영할 수 있도록 망 분리 정책의 개선에 대한 요구가 높아져 왔습니다.
이에 국가정보원은 2025년 1월, 업무망과 인터넷망이라는 이분법적인 망 분리 정책을 개선하여 업무정보의 중요도에 따라 보안 통제를 차등 적용하는 ‘국가 망 보안체계’ 가이드라인을 공개하였습니다.
2. 새로운 국가 망 보안체계(N²SF)란?
클라우드, AI 등 디지털 전환 가속화에 따른 사이버 위협의 범위와 규모가 커지고 공격자들의 전술과 공격기법도 더욱 정교해지고 있습니다. 이러한 위협은 국방, 외교, 행정, 금융 등 국가 핵심 기능을 담당하는 국가·공공기관의 업무와 기능의 연속성을 저해하고 국가 안보에 영향을 미칠 수 있는 수준의 위험으로 발전하고 있는데요,
국가 망 보안체계 가이드라인에서는 선제적으로 위협을 식별하고 위험을 파악하여 신속하게 보호 대책을 적용하기 위한 기본원칙과 세부절차를 제공하고 있습니다.
이러한, 국가 망 보안체계의 핵심은 국가·공공기관의 업무정보와 정보 시스템에 대해서, 업무 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 등급으로 분류하고, 등급별로 차등적인 보안 통제를 적용하는 것인데요, 모든 데이터를 무조건 차단하는 방식이 아니라 데이터의 중요도에 맞춰 유연하게 보안 조치를 적용할 수 있게 되었습니다. 즉, 중요도에 따른 공공정보의 보안성 확보와 활용성을 높이는, 두 가지 목적을 동시에 달성하는 정책이라 할 수 있겠습니다.
< 기존 망 분리 정책과 국가 망 보안체계 비교 >
3. 국가 망 보안체계 적용 절차
총 5단계 절차로 적용되는 국가 망 보안체계는 국가·공공기관이 정보화 사업을 계획·시행할 때 해당 사업에 포함되는 정보서비스에서 발생할 수 있는 보안 위협을 사전에 식별하여 위험 수준을 평가하고 보안대책을 수립하는 과정을 포괄하고 있으며, 각 단계의 산출물은 국가정보보안 기본 지침에 따른 국가정보원 보안성 검토 시 활용하게 됩니다.
따라서, 국가 망 보안체계의 원활한 적용 및 운영을 위해서는 각 단계에서 수행해야 할 주요활동을 명확히 숙지해야 하고 각 단계별 활동 결과를 어떻게 문서화 할 것인지 그 형식과 내용을 결정해야 합니다.
첫째, 준비 (Prepare) 단계
기관의 업무정보 및 정보서비스 현황을 식별하고 분석하여 이후 절차에 필요한 기초적인 정보를 확보하고 국가 망 보안 체계 적용 계획을 수립하는 단계입니다.
준비단계의 핵심은 정부기능분류체계, 지방기능분류체계, 기관 자체 BRM 등에 따라 각급 기관의 조직도 및 단위 부서를 기준으로 업무와 기능을 분류하고 해당 업무와 기능을 수행하기 위한 업무정보와 이에 대한 생성/저장/처리/이동/보관/폐기에 관여하는 정보 시스템을 식별하고, 이러한 정보 시스템들로 구성되는 정보서비스를 식별하는 단계로 국가 망 보안 체계 수행 절차에 필요한 기반을 조성하는 것이라 할 수 있습니다.
둘째, C/S/O 등급분류 (Categorize) 단계
준비단계에서 식별한 기관의 업무정보 및 정보 시스템에 대해 업무 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 등 3개 등급으로 분류하는 단계입니다.
업무정보의 등급분류는 정보공개법, 공공데이터법, 보안업무 규정 등의 관련 법령을 근거로 진행됩니다. 기밀정보(C)는 비밀, 안보·국방·외교·수사 등의 기밀정보와 국민 생활·생명·안전과 직결된 정보로서 정보공개법 제9조(비공개 대상 정보)의 제1호부터 제4호까지를 포함하며, 민감정보(S)는 비공개 정보 등 개인·국가 이익 침해가 가능한 정보로서 정보공개법 제9조(비공개 대상 정보)의 제5호부터 제8호까지의 정보 및 로그, 임시백업 등의 기타 정보를 포함합니다. 또한 공개정보(O)는 기밀정보(C) 및 민감정보(S) 이외의 모든 정보를 포함합니다.
구분 | 정의 | 해당세부 | 비고 |
기밀정보(C) | 비밀, 안보·국방·외교·수사 등 기밀정보 및 국민 생활·생명·안전과 직결된 정보 | 제1호 : 법률상 비밀·비공개로 규정 제1호 : 안보·국방·통일·외교 관련 공개 시 국익 저해 제3호 : 공개 시 국민 생명·신체·재산보호에 현저한 지장 초래 제4호 : 진행 중 재판 및 범죄예방·수사·공소·형 집행·교정 관련 정보로 공개 시 현저한 직무수행 곤란 및 피고인 재판권 침해 | 비공개 대상 정보 (정보공개법, 공공데이터법 등에 따라 각 기관과 기업이 지정) |
민감정보(S) | 비공개 정보로 개인·국가 이익 침해가 가능한 정보 | 제5호 : 감사·감독·검사·시험·입찰계약·기술개발·인사관리 및 의사결정·내부검토 관련 정보로, 공개 시 공정한 업무수행, 연구개발 등에 현저한 지장 제6호 : 성명·주민번호 등 개인정보로, 공개 시 사생활 침해 제7호: 법인·단체·개인의 경영상·영업상 비밀로, 공개 시 이익 침해 제8호 : 공개 시 부동산 투기, 매점매석으로 특정인에게 이익·불이익 기타 : 로그 및 임시백업 등 | |
공개정보(O) | 기밀·민감정보 이외 모든 정보 및 별도의 조치를 적용한 비공개 정보 | 공공데이터법(제2호)에 따른 공공데이터로 기말(C), 민감(S) 정보 이외 모든 정보 관련 법령 등에서 규정하는 요건을 조치한 행정·민감 정보 기간의 경과 등으로 비공개 필요성 소멸 시 공개한 정보 |
|
< 업무정보에 대한 C/S/O 분류기준(요약) > *공공데이터법 및 정보공개법 참조
정보 시스템의 등급분류는 기관 업무정보의 C/S/O 등급분류가 완료된 후 해당 업무정보가 저장된 정보 시스템의 등급을 분류하는데 기본적으로 업무정보의 등급을 정보 시스템의 등급으로 반영합니다.
서로 다른 등급의 업무정보가 한 정보 시스템에 포함된 경우, 가장 높은 등급을 기준으로 해당 시스템을 분류합니다. 이로 인해 낮은 등급의 업무정보에 높은 수준의 보안대책이 적용될 수 있으므로 동일한 등급별로 정보 시스템을 분리 운영할 것을 권장하고 있습니다.
셋째, 위협 식별 (Identify) 단계
정보 시스템을 포함한 서비스 환경 전체를 대상으로 서로 다른 보안등급 간 위협요소를 식별하고, 보안대책 적용이 필요한 대상을 식별하기 위한 모델링 수행 단계입니다.
< 정보서비스 모델링 예시 >
정보서비스 위협 식별 방법론으로 <위치-주체-객체> 모델링을 제시하고 있는데요, 주체는 업무정보·정보 시스템을 활용하는 주체(이용자)를 의미하며 객체(Object)는 주체가 접속하는 대상, 위치(Domain)는 주체가 위치한 물리적 영역을 의미합니다.
각 위치, 주체, 객체는 C/S/O 보안등급을 가지게 되며 해당 정보서비스 환경에서 모두 동일한 보안등급으로 구성되어 있는지, 혹은 서로 다른 보안등급의 위치, 주체, 객체가 혼용되어 있는지를 판단할 수 있습니다.
정보서비스에 대한 <위치-주체-객체> 모델링 및 모델 C/S/O 평가를 수행한 후 서로 다른 보안등급 간 혼용이 발생하는 경우 구체적으로 어떤 업무정보와 정보 시스템에 보안 위협이 존재하는지, 보안대책 적용이 필요한지 등에 대한 세밀한 파악이 필요하며, 이를 위해 다음의 2가지 보안 원칙을 제시하고 있습니다.
첫째, ‘정보 생산/저장의 원칙‘입니다.
기본적으로 정보 시스템은 자신의 보안등급과 동일하거나 낮은 보안등급의 업무정보를 생산 또는 저장할 수 있으며 그렇지 않은 경우 보안대책이 필요합니다.
둘째, ’정보 이동의 원칙‘입니다.
기본적으로 업무정보는 자신의 보안등급과 동일하거나 높은 보안등급의 정보 시스템으로 이동할 수 있습니다. 그렇지 않은 경우 보안대책이 필요합니다.
예를 들어, O등급 정보 시스템에서 S등급의 업무정보가 활용되고 저장되고 있다면 이는 정보 생산·저장의 원칙에 어긋나므로 위협으로 식별되는데요, 이 경우, 정보 업로드 및 이동 구간에 대한 보안대책이 필요하게 됩니다.
「정보 생산·저장」 보안 원칙 | 정보 이동 보안 원칙 | ||||||
~시스템에서 ~정보 생산저장 | C정보 | S정보 | O정보 | ~정보가 ~시스템으로 이동 | C시스템 | S시스템 | O시스템 |
C시스템 | ● | ● | ● | C정보 | ● | Ⅹ | Ⅹ |
S시스템 | Ⅹ | ● | ● | S정보 | ● | ● | Ⅹ |
O시스템 | Ⅹ | Ⅹ | ● | O정보 | ● | ● | ● |
이렇듯, 위협 식별 모델링과 보안 원칙을 통해 위협 유형과 보안대책 적용 대상을 파악할 수 있고 적절한 보안 통제 항목을 선택할 수 있습니다.
넷째, 보안대책 수립 (Select) 단계
위협 식별 결과를 바탕으로 업무정보와 정보 시스템을 보호하기 위해 적절한 보안 통제 항목을 선택하고 조정하는 과정을 수행해야 합니다. 이를 위해 보안 통제 항목을 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산의 6가지 영역으로 구분하며, 각 항목은 보안 수준(등급)에 따라 선택하고 적용합니다.
업무정보와 정보 시스템에 보안 통제 항목을 적용한 후, 보안 통제 구현을 위한 세부 계획을 수립합니다. 기관의 업무 중요도에 따라 보안 통제의 우선순위를 결정하고, 책임자 및 자원을 배정합니다. 또한, 구현 방법 및 기술적 요구사항, 구현 일정 등을 수립합니다.
다섯째, 적절성 평가 조정 (Assess) 단계
준비, 등급분류, 위협 식별, 보안대책 수립 전 과정에 대한 적절성을 평가하고 재조정 또는 승인을 수행하는 단계입니다.
< 국가 망 보안체계 단계별 주요 활동간 관계도 >
마지막으로 국가 망 보안체계의 전체 단계에서 요구되는 활동들이 올바르게 이루어졌는지, 단계별 적절성을 평가합니다. 각 단계별로 주요활동과 그 결과로 생성되는 산출물이 정의되어 있어 이를 통해 단계별 활동의 적절성을 평가받게 됩니다.
4. 기관 및 기업의 준비사항
기관과 기업은 국가 망 보안체계 가인드라인의 권고사항에 따라 다음과 같은 준비사항을 이행할 수 있습니다.
먼저 각 단계 활동별 책임자를 임명하고 관련된 역할과 권한을 정의해야 합니다. 또한, 자체 심의위원회를 구성하여 적용의 적절성을 평가하고, 필요한 경우 보안 통제를 조정할 수 있도록 해야 합니다. 심의위원회는 기관의 장 또는 CISO, 정보보안담당관을 위원장으로 하고 정보화 담당자, 정보화 사업 담당자, 정보보안 담당자, 자문위원 등을 포함할 수 있습니다.
또한, 관련 법령, 지침, 가이드라인 등을 참고하여 기관 또는 특정 정보 시스템에 요구되는 정보보안, 개인정보보호 관련 요건을 확인하고 파악해야 합니다. 특정 정보 시스템의 보안 수준이 N²SF 보안 통제 기준선과 차이가 발생한다면, 이후 보안대책 수립 단계에서 보안 통제를 조정해야 하기 때문입니다.
기관의 업무정보에 대한 C/S/O 등급분류 목표를 사전에 수립할 수 있습니다. 보안 요구사항, 예산 및 기술현황 등을 고려하여 각 C/S/O 등급으로 분류되는 업무정보의 비율, 개수 등에 관한 목표를 수립하는 것입니다. 이를 위해 기관의 업무 기능과 업무정보, 정보 시스템 및 서비스에 대한 분류와 식별을 파악이 필요합니다.
구분 | 파악 수준 |
기관 업무·기능 분석 | 정부기능분류체계, 지방기능분류체계 등에 따른 기관의 기능 목록(중요도, 우선순위 포함) |
업무정보 식별 | 기관의 정부기능과 연관되는 업무정보(특성 포함) 목록 |
정보 시스템 식별 | 각 업무정보의 생산·저장·처리·전송에 관여하는 정보시스템(특성포함) 목록 |
정보 서비스 식별 | 각 정보서비스 내 정보 시스템 구성을 포함한 전반적인 서비스 구조 |
5. 국가 망 보안체계 추진 시 변화되는 시장 양상
국가정보원은 올해 상반기 선도사업을 통해 조기에 정착될 수 있도록 지원하며, 하반기 정식 가이드라인 배포 정책을 본격적으로 시행할 예정입니다. 국가 망 보안체계 가이드라인 적용되면 시장에는 다음과 같은 변화가 일어날 수 있는데요,
첫째, 보안 정책 패러다임 전환
국가 망 보안체계 개편은 단순한 망 분리 완화가 아니라 보다 지능적이고 유연한 보안 패러다임으로의 전환을 의미합니다. 기존 네트워크 중심 경계보안에서 제로 트러스트 기반 보안 모델로의 전환이 가속화될 것입니다. 또한, 망 경계 중심 보안에서 데이터 중요도에 따른 차등 보안 적용으로 데이터 중심 보안으로 전환되며 AI 및 자동화된 대응 기술 도입이 확대될 것으로 보입니다. 기관과 기업 및 정보보호산업계는 이러한 보안 정책 패러다임 변화를 이해하고, 보안 수준을 강화하는 동시에 업무 효율성과 데이터 활용성을 극대화하는 전략이 필요합니다.
둘째, 정보 유통 및 활용 증대
기관별 특성과 업무 중요도에 따른 맞춤형 보안 정책 강조로 클라우드, AI 등 신기술 도입 및 활용이 촉진되어 보다 유연하고 효율적인 업무 환경을 조성하는 데 기여할 수 있는데요, 기관 내부의 정보 공유가 활성화되고, 외부 협력 및 공공데이터 활용이 용이해져 새로운 서비스가 창출될 것으로 예상 됩니다.
셋째, 보안 시장의 성장
N²SF 가이드라인은 위협 식별, 보안 통제, 접근 통제 등 다양한 보안 요구사항을 제시하고 있는데요, 이는 관련 보안 솔루션 및 서비스 수요 증가로 이어져 보안 시장 성장을 견인할 것으로 보입니다. 특히, 망 연계, 다중요소 인증(MFA), 침입 탐지/방지 시스템(IDS/IPS), 웹 애플리케이션 방화벽(WAF), 데이터 암호화, VPN 등 특정 보안 기술에 대한 수요가 증가할 수 있습니다.
넷째, 보안 기술 경쟁 심화
N²SF 가이드라인은 최신 보안 기술 및 표준을 반영하고 있어 보안 업체들이 경쟁력을 확보하기 위해 지속적인 기술 개발 및 투자를 유도할 수 있습니다. 특히, AI 기반 보안, 클라우드 보안, 제로 트러스트 등 차세대 보안 기술 경쟁이 강화될 수 있습니다.
다섯째, 보안 전문 인력 수요 증가 및 보안 관리 체계 강화
N²SF 가이드라인은 보안 정책 수립, 위험 관리, 접근 통제, 사고 대응 등 전반적인 보안 관리 체계 강화를 요구해 기관들은 보안 조직, 인력, 프로세스 등을 재정비하고, 보안 투자를 확대하게 될 것으로 보입니다. N²SF 가이드라인 준수를 위해서는 보안 전문가의 역할이 중요한데요, 기관들은 보안 전문 인력을 확보하거나 외부 컨설팅 서비스에 대한 활용이 커질 것으로 예상됩니다.
18년 이상 망 분리 정책을 시행해 온 조직이 많은 만큼, 단기간 내 모든 기관과 기업이 새로운 정보보안 체계로 전환하는 것은 쉽지 않을 것입니다. 국가 망 보안체계 개편은 단순한 규제 완화가 아닌 새로운 보안 패러다임으로의 전환을 의미하므로, 보안 담당자는 보다 정교한 보안 정책을 수립해야 합니다. 이를 위해 도입 절차를 체계적으로 마련하고, 기관 및 기업별 상황과 우선순위를 파악하며, 적용 과정에서 면밀한 준비와 세심한 접근이 필요할 것입니다. 이번 변화가 기관과 기업이 보안 역량을 한층 강화하고, 보다 안전하고 유연한 디지털 환경을 구축하는 계기가 되기를 바랍니다.