망분리 원칙 개선한 국가 망 보안체계 발표, 상반기 선도사업 실시 > IT/과학기사 | it/science

임종철 디자이너 /사진=임종철

망 분리 보안 체계를 대체하는 공공 망 보안 체계가 공개됐다. 상반기 중 관련 선도사업이 추진되고 시스템 별로 단계적으로 새로운 망 보안 체계를 적용한다는 게 정부의 방침이다.

국가정보원은 23일 이같은 내용의 국가 망 보안 체계N2SF, National Network Security Framework 보도 참고자료를 통해 "이달 N2SF 보안 가이드라인 초안을 각급 기관에 배포해 공공 분야 담당자 이해를 높였고 유관 협회와 기관 등 산업계의 제품 개발·수출 등에 참고하도록 국가사이버안보센터 홈페이지에도 공개할 것"이라고 밝혔다.

국정원은 "상반기 중 N2SF를 각급 기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회, 과학기술정보통신부 등 관계 부처와 협조해 정보 서비스 모델을 반영한 선도사업을 추진하고 안정적 정책 확산을 유도할 것"이라며 "상반기 중 선도사업 등을 통한 안전성 검증과 N2SF 조기 도입 희망 기관 대상 컨설팅 등 각급 기관이 신 정책 적용에 차질이 없도록 밀착 지원하고 하반기에는 보안 가이드 미비점 보완 후 정식 배포 등 정책을 본격 시행할 것"이라고 했다.


또 단기적으로는 소규모 네트워크나 N2SF 적용이 용이한 사업, 올해 계획된 망 분리 사업 등 즉시 추진 가능한 정보화 사업은 신 보안 체계를 우선 적용하고 중장기적으로 ISP정보화전략계획 수행 및 기획재정부 등 관계 부처 검토가 필요한 대규모 시스템은 예산 및 재구축 소요기간 등을 고려해 단계적으로 전환을 추진하겠다고도 설명했다.

앞서 국정원은 지난해 1월부터 기존 공공 망 분리 보안 원칙을 대체하는 보안 모델 전환을 도모해왔고 같은 해 9월 CSK사이버서밋 코리아 행사에서 N2SF 주요 내용과 시행 방안, 추진 계획 등 로드맵을 밝힌 바 있다. 지난해 11, 12월 각급 기관과 산업계를 대상으로 한 설명회를 거쳐 발표된 것이 이날 내용이다.

N2SF는 정부 전산망을 업무 중요도에 따라 기밀Classified 민감Sensitive 공개Open 등급으로 분류하고 보안 통제 항목을 차등 적용해 보안성과 데이터 공유를 동시에 충족하는 것을 골자로 한다. 각급 기관은 정보공개법 등 관련 법령이 규정한 비공개 정보는 중요도에 따라 소관 업무 정보를 대상으로 C기밀 또는 S민감 등급으로 분류하고 나머지 모든 정보는 O공개로 분류해야 한다. N2SF 적용은 준비 →등급 분류 →위협 식별→보안대책 수립→적절성 평가 및 조정 등 5단계로 진행된다. 기관들은 등급별 보안 수준에 맞는 항목을 선택→적용한다.

서울=뉴스1 송원영 기자 = 윤석열 대통령이 11일 서울 강남구 코엑스에서 열린 사이버 서밋 코리아CSK 2024 개회식에서 사이버 파트너스Cyber Partners 출범 및 원팀 세리머니를 하고 있다. 왼쪽부터 신익현 LIG넥스원 대표, 김영섭 KT대표, 이수현 윈스 CISO, 유상임 과학기술정보통신부 장관, 조태용 국가정보원장, 윤 대통령, 볼프강 앙거홀처 주한오스트리아 대사, 아르메아누 체자르 마놀레 주한루마니아 대사, 미셸 윈스로프 주한아일랜드 대사, 에밀리아 가토 주한이탈리아 대사, 마트 누르마 북대서양조약기구NATO·나토 사이버방위센터장. 대통령실 제공 2024.9.11/뉴스1 Copyright C 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지. /사진=서울=뉴스1 송원영 기자

이번에 공개된 N2SF 초안은 본문, 부록1, 부록2 등 3권으로 구성됐다. 본문은 N2SF의 개념과 원칙, 보안통제항목 선택방법 등을 담고 있다. 부록1은 보안위협 요인을 식별한 후 적절한 보안대책을 선택해 구현할 때 필요한 내용들을 담았다. C/S/O 등급에 따라 차등적으로 적용할 보안 대책을 권한 인증 분리 및 격리 통제 데이터 정보자산 등 6개 영역으로 구분해 어떻게 대응 전략을 마련할지를 설명한 것이다.

부록2에는 공공부문의 정보화 체계를 변화시킬 수 있는 대표적 정보서비스 모델을 발굴한 내용들이 담겼다. 정보서비스 모델의 예시로는 △인터넷 단말 업무 효율성 제고 △클라우드 기반 통합 문서체계 △개발 환경 편의성 향상 △외부 클라우드 활용 업무 협업 체계 등 8개가 있다.

국정원은 "N2SF는 기존 망 분리를 폐지하는 게 아니라 현실에 맞게 일부 개선하는 것"이라며 "각급 기관에서 등급별 보안 대책을 고려해 망 분리 유지나 개선 모두 가능하다"고 설명했다. 또 "각급 기관이 C/S/O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안 대책을 N2SF가 요구하는 등급별 보안 통제 항목에 따라 차등 적용이 가능하다"고 했다.

N2SF가 기존 과기정통부가 주관하는 CSAP클라우드 보안인증제와 같은 공공 납품용 제품·솔루션 인증과 충돌되는 게 아닌 우려도 있다. 이에 국정원은 "과기정통부 CSAP는 민간 클라우드 서비스의 보안수준 인증제"라며 "국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입시 보안 요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"고 했다.

또 "과기정통부는 각급 기관과 업계 혼선 최소화 등을 위해 향후 국정원 보안 기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라며 "국정원은 정보화사업 보안성 검토 과정에서 CSAP 인증 항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사나 검토 없이 공공분야 보안 위주로 검증하고 있으므로 이중 심사는 아니다"라고 했다.

황국상 기자 gshwang@mt.co.kr

ⓒ 머니투데이 amp; mt.co.kr, 무단 전재 및 재배포 금지