안녕하세요, 소프트캠프 입니다.

국가∙공공기관은 2006년부터 물리적인 망 분리 정책을 기반으로 보안을 유지해왔습니다. 그러나 최근 원격근무, 클라우드, 생성형 AI 등 IT환경의 급격한 변화로 인해 인터넷과 단절된 망 분리 환경에서는 업무를 효율적으로 수행하기 어려워지고 있으며, 공공데이터의 대국민 활용 측면에서도 제약이 많아 달라진 업무환경과 신기술을 반영할 수 있도록 망 분리 정책의 개선의 목소리가 커졌습니다. 

이러한 변화에 대응하기 위해, 정부는 공공데이터의 활용을 촉진함과 동시에 보안성을 확보하기 위한 국가 망 보안체계 N²SF(National Network Security Framework) 가이드라인(Draft)을 올해 1월 배포하였습니다. 업무∙데이터의 중요도에 따라 보안 수준을 차등 적용하는 새로운 국가 망 보안체계 N²SF는 다양한 업무 환경에서도 보안이 지속적으로 유지될 수 있도록 설계된 체계로, 국가 전반의 사이버 보안과 안보 수준을 한층 더 강화할 수 있는 기반이 됩니다.

이번 기술백서에서는 N²SF의 핵심 원칙과 주요 내용을 살펴보고, 이를 주요 업무 환경에 적용하기 위한 실질적인 보안 방안을 모색해보고자 합니다. 

(이미지 출처 : 국가정보원 국가 망 보안체계 보안 가이드라인 /  기존 망 분리 정책과 국가 망 보안체계 비교)

국가·공공기관은 오랫동안 외부 위협으로부터의 차단을 목적으로 '망분리' 정책을 기반으로 보안 체계를 운영해 왔습니다. 인터넷망과 업무망을 물리적으로 분리하는 방식은 과거에는 효과적인 방식으로 여겨졌지만, 오늘 날 급변하는 디지털 업무 환경에서는 점점 더 많은 제약을 드러냅니다. 

클라우드 기반 서비스의 활용, SaaS 협업 도구 도입, 원격 근무 확산, 생성형 AI의 등장으로 인해 폐쇄적인 구조의 망분리 체계는 효율성을 심각하게 저해하고 있습니다. 실제로 다수의 공공기관은 정보 생성·공유·활용 측면에서 막대한 비효율을 경험하고 있으며, 업무 생산성과 정책 집행 속도에도 영향을 받고 있습니다. 

이러한 변화 속에서 주목받고 있는 것이 바로 새로운 국가 망 보안 체계 N²SF(National Network Security Framework)입니다. 

(이미지 출처 : 국가정보원 국가 망 보안체계 보안 가이드라인, 업무정보에 대한 C/S/O 분류 기준)

(이미지 출처 : 국가정보원 국가 망 보안체계 보안 가이드라인, 정보시스템의 C/S/O 분류 기준)

N²SF는 기존의 일률적인 망분리 방식에서 벗어나, 업무의 중요도와 데이터의 민감도에 따라 보안 수준을 차등 적용하는 체계입니다. 업무를 ▲기밀(Classified), ▲민감(Sensitive), ▲공개(Open) 등 세 가지로 구분하고, 각 등급에 맞춰 보안 통제를 다르게 적용함으로써 보안성과 업무 효율성을 동시에 확보할 수 있도록 설계되었습니다.

즉, N²SF는 더 이상 모든 업무에 동일한 보안 기준을 적용하지 않습니다. 정보가 생성된 위치, 사용되는 목적, 유통되는 방식에 따라 다른 통제 정책을 적용하며, 이를 통해 필요한 곳에는 강력한 통제를, 가능한 곳에는 유연한 접근을 제공할 수 있습니다. 이는 단순한 정책 변경이 아닌, 업무 흐름을 보존하면서도 실질적인 통제를 가능하게 하는 보안 체계로의 패러다임 전환입니다.

위 그림의 비교에서 볼 수 있듯, 기존 망분리는 네트워크 간 이동 자체를 원칙적으로 차단하는 구조였다면, N²SF는 정보의 등급에 따라 전송·저장·활용을 탄력적으로 관리하는 방식입니다. 이러한 변화는 디지털 혁신을 가속화하면서도, 국가 안보와 정보보호를 저해하지 않는 ‘균형 있는 보안 전략’으로 주목받고 있습니다.

디지털 기술의 급속한 발전과 함께 다양한 조직들은 점점 더 복잡하고 유연한 업무 환경을 갖추게 되었습니다. 생성형 AI, 외부 클라우드 협업 도구, 원격지 기반의 연구개발 환경 등은 업무 생산성과 혁신을 이끄는 핵심 수단이지만, 동시에 정보 유출, 계정 탈취, 악성코드 유입 등 보안 위협을 증가시키는 요소이기도 합니다.

이러한 환경 변화에 대응하기 위해, N²SF는 업무 환경과 정보의 중요도에 따라 적절한 보안 수준을 적용하는 등급 기반 보안 설계 원칙을 제시합니다. 주요 업무 환경별로 이를 어떻게 설계하고 적용할 수 있는지 다음과 같이 살펴볼 수 있습니다.

(이미지 출처 : 국가정보원 국가 망 보안체계 보안 가이드라인, 정보서비스 모델 대상 보안원칙 적용 )

1. 업무 환경에서 생성형 AI 활용

생성형 AI는 업무 효율성과 생산성을 향상시킬 수 있는 기술로 주목받고 있지만, 외부와의 연결 구조를 갖는 특성상 정보 유출에 대한 우려가 존재합니다. 이에 따라, 국가 망 보안체계(N²SF)는 업무의 중요도와 정보의 민감도에 따라 생성형 AI 활용 범위를 C/S/O 등급에 기반해 차등 통제하며, 정보서비스 환경에서의 정보 이동·저장 보안원칙을 통해 보안 위협을 사전에 식별하고 대응하도록 하고 있습니다.

N²SF는 이러한 위험에 대응하기 위해 정보 생산·저장과 정보 이동의 보안 원칙에 따라 생성형 AI의 활용 범위를 다음과 같이 나눠서 생각할 수 있습니다.

(이미지 출처 : 국가정보원 국가 망 보안체계 보안 가이드라인, 
정보 생산·저장 보안원칙을 적용한 위협식별 및 보안대책 적용지점 판단)

1) 위치-객체-주체에 따른 C/S/O 기준

위치 : 기관 전산망 (S등급)에서
주체 : 업무 단말 (S등급), 온북 (S등급)을 이용해서
객체 : 생성형 AI서비스 (O등급)을 이용하는 경우 

2) 보안 원칙

기관 전산망 영역에 위치한 업무 단말 및 온북은 모두 S등급이며 업무시스템(S등급)과 생성형 AI 서비스(O등급)를 모두 이용할 수 있습니다.

단, 생성형 AI서비스(O등급)에서 O등급 보다 상위의 업무정보를 생산하는 경우, 생성형 AI에서는 O등급 업무정보만 생산하고 저장할 수 있습니다.

이러한 등급별 기준은 정보의 생성 위치, 이동 경로, 저장 위치를 통합적으로 고려한 보안 모델링을 기반으로 수립되며, 다음과 같은 보안 위협 요소에 대한 선제적 대응 체계가 요구됩니다.

이러한 위협에 대응하기 위해 국가 망 보안체계(N²SF)는 다음과 같은 통제 방안을 제시하고 있습니다.

N²SF는 이와 같은 세부 통제를 기반으로, 생성형 AI를 일괄적으로 차단하지 않으면서도 정보의 보안등급에 따라 안전하고 유연하게 도입할 수 있는 보안 체계를 제공합니다.

2. 외부 클라우드 활용 업무 협업 체계

현대의 업무는 단일 조직 내부에서만 이뤄지지 않으며, 다양한 외부 기관·파트너·고객과의 협업을 기반으로 운영됩니다. 이러한 환경에서는 SaaS(Software as a Service) 형태로 제공되는 협업 도구(예: Google Workspace, Microsoft 365 등)를 활용해 높은 업무 효율성을 얻을 수 있지만, 동시에 보안상 다양한 위협 요인을 수반합니다.

N²SF는 이러한 외부 인터넷 연결이 필수적인 업무 환경에서도, 정보의 보안 등급에 따른 통제 기준을 명확히 적용함으로써 협업의 효율성과 보안 수준을 동시에 확보할 수 있도록 지원합니다.

1) 위치-객체-주체에 따른 C/S/O 기준

Case 1.
위치 : 인터넷 영역(O등급)의
주체 : 원격 단말(O등급), 모바일 단말(O등급), 온북(O등급)을 통해서 
객체 : 업무협업체계 (O등급) 에 접속하는 경우 

보안원칙 : 

동일한 업무협업체계(O등급)에 접속하는 인터넷 영역의 O등급 단말(원격 단말, 모바일 단말, 온북)에서 O등급보다 상위의 업무정보(C등급, S등급)를 생산하는 경우, 정보 생산·저장 보안원칙에 위배됩니다.

따라서 원격 단말, 모바일 단말, 온북에서 O등급 업무정보만 생산 및 저장할 수 있도록 보안 통제를 적용해야 합니다.

Case 2.
위치 : 기관 전산망(S등급)의 
주체 : 업무 단말(S등급) 및 온북(S등급) 에서 
객체 : 인터넷 영역(O등급)에 위치한 업무협업 체계(O등급)에 접속하는 경우

보안원칙 : 

기관 영역에 위치한 업무 단말 및 온북은 모두 S 등급이며, 업무 시스템(S등급)과 업무협업체계(O등급)를 모두 이용할 수 있습니다. 따라서 업무 단말 및 온북은 O등급 업무정보를 모두 생산 및 저장할 수 있습니다.

이러한 구분은 정보의 등급과 단말 환경에 따라 데이터의 흐름을 체계적으로 통제함으로써, 비인가된 외부 전송 및 정보 유출 가능성을 효과적으로 차단합니다.

SaaS 기반 협업 도구를 활용하는 업무 환경은 다양한 사용자, 기기, 그리고 외부 인터넷과의 연결이 필수적이기 때문에, 다음과 같은 보안 위협에 대한 사전 대응 체계가 요구됩니다.

3. 연구개발 환경에서의 신기술 활용과 업무 유연성 확보

연구개발 업무는 기존의 폐쇄망 기반에서 벗어나, 외부 인터넷과 SaaS(Software as a Service) 기반의 최신 도구를 활용해 보다 빠르고 유연한 방식으로 수행되는 방향으로 전환되고 있습니다. 이러한 환경 변화에 따라, 긴급 상황 시 원격에서 시스템에 접근하거나, 외부 정보를 참고해 신기술을 적용하는 개발 수요가 점차 증가하고 있습니다.

N²SF는 이러한 흐름에 대응하여, 연구개발 단말에서도 외부 인터넷 및 SaaS 협업 도구를 활용할 수 있도록 보안 정책과 통제 기준을 제시하고 있습니다. 이를 통해 개발자는 생산성과 업무 자율성을 확보하는 동시에, 등급 기반 통제를 통해 정보 유출 및 사이버 위협에 대응할 수 있는 안전한 개발 환경을 구현할 수 있습니다.

1) 위치-객체-주체에 따른 C/S/O 기준

위치 : 기관 전산망(S등급)에서
주체 : 연구 단말(S등급)을 이용해서
객체 : 인터넷 서비스(O등급)를 이용하는 경우

2) 보안 원칙

기관 영역에 위치한 연구단말은 모두 S등급이며 업무시스템(S등급)과 인터넷 서비스(O등급)을 모두 이용할 수 있습니다. 또한 인터넷 서비스(O등급)에서 O등급 업무정보만 생산 및 저장할 수 있도록 보안통제를 적용해야 합니다.

이러한 구분은 정보의 등급과 단말 환경에 따라 데이터의 흐름을 체계적으로 통제함으로써, 비인가된 외부 전송 및 정보 유출 가능성을 효과적으로 차단합니다.

연구개발 환경에서 SaaS 기반 도구와 외부 인터넷 연결을 허용하는 경우, 다음과 같은 주요 보안 위협에 대한 사전 대응 체계가 요구됩니다.

이러한 구분은 정보의 등급과 단말 환경에 따라 데이터의 흐름을 체계적으로 통제함으로써, 비인가된 외부 전송 및 정보 유출 가능성을 효과적으로 차단합니다.

연구개발 환경에서 SaaS 기반 도구와 외부 인터넷 연결을 허용하는 경우, 다음과 같은 주요 보안 위협에 대한 사전 대응 체계가 요구됩니다.

이러한 보안 위협에 효과적으로 대응하면서도 개발자의 편의성과 자율성을 보장하기 위해, N²SF는 업무 등급 기반의 데이터 통제 원칙에 따라 유연하면서도 강력한 보안 정책의 수립과 적용을 강조하고 있습니다.

이를 통해 개발자는 필요 시 외부 정보와 기술에 접근하되, 사전에 정의된 정보 등급 체계에 따라 외부 전송 및 저장이 통제되며, 결과적으로 보안성과 업무 효율성을 동시에 충족하는 환경에서 생산적인 연구개발 활동을 수행할 수 있습니다.

지금까지 N²SF 기반의 새로운 보안 체계가 왜 필요한지, 그리고 각 업무 환경에 따라 이를 어떻게 적용할 수 있을지를 살펴보았습니다.  업무의 중요도와 정보의 민감도에 따라 보안 수준을 차등 적용하고, 유연성과 통제를 균형 있게 조율하는 것은 이제 필수적인 전략입니다.

N²SF는 국가∙공공기관이 정보 서비스의 위협을 식별하고, 위험 수준을 평가하며, 적절한 보호 대책을 수립하고 운영할 수 있도록 돕는 일련의 지침과 원칙입니다. 이를 단순한 규정이 아닌, 조직의 업무 절차와 보안 인식의 틀로 정착시키는 것이 중요합니다.

그리고 무엇보다, 실제 환경에서 지속 가능하고 유연한 보안 체계를 운영하기 위해선 이를 현실적으로 구현할 수 있는 구체적인 방안이 반드시 필요합니다.

다음 회차에서는 위에서 예시로 든 주요 업무 환경에서 보안 위협과 대응 방안(기술)에 대해서 살펴보고, 소프트캠프의 솔루션이 어떤 역할을 수행 할 수 있는지, 그리고 이를 통해 어떻게 보안성과 업무 생산성을 동시에 충족시킬 수 있는지를 구체적으로 살펴보겠습니다.