"이제 망분리 필요 없어진 건가요" …국가망보안체계 가이드 발표에 관심 집중

실시간
뉴스

보안

"이제 망분리 필요 없어진 건가요" …국가망보안체계 가이드 발표에 관심 집중

디지털데일리 발행일 2025-01-24 15:10:15

김보민 기자

URL복사

[디지털데일리 김보민기자] 국가망보안체계(National Network Security Framework·이하 N²SF) 가이드라인 초안이 공개되면서, 공공분야 정보기술(IT) 환경에 변화가 예고됐다. 국내 보안업계는 향후 사업 전략을 어떻게 재편할지 예의주시하는 분위기다.

망분리와 더불어, 클라우드보안인증(CSAP) 등 기존 제도가 무용지물이 될 수 있다는 우려도 여전하다. 이번 체계 개선을 이끈 국가정보원(이하 국정원)은 "그렇지 않다"는 입장을 유지하며, 의견 수렴을 거쳐 미비점을 보완하겠다는 기조를 이어갈 전망이다.

24일 관련 업계에 따르면 국정원은 전날 국가망보안체계 가이드라인 초안을 공개했다. N²SF는 정보시스템과 데이터 중요도에 따라 기밀(C), 민감(S), 공개(O) 등 세 등급을 나눠 보안 체계를 차등 적용하는 것이 핵심이다. 이를 통해 공공 분야에서 인공지능(AI) 및 클라우드 활용도를 높이고, 공공데이터 활용을 활성화하자는 취지다.

이번 가이드라인은 초안 버전으로 발간됐지만, 공식 자료 중 처음으로 다층보안체계(MLS)를 대체할 용어로 N²SF를 소개했다. 아울러 국가망보안체계 개념, 적용 절차, 주요사항, 고려사항을 시작으로 도입에 필요한 세부 내용을 단계별로 소개했다. 제로트러스트 적용 방법과 주요국 보안정책 동향, 접근통제 모델 등에 대한 내용도 참고 목차에 포함됐다. 올해 계획된 망분리 및 정보화 사업을 대상으로 신 보안 체계를 우선 적용한다는 향후 계획도 밝혔다.

이번 가이드라인은 공공 매출 비중이 크거나, 서비스형소프트웨어(SaaS) 사업에 뛰어든 보안 기업들에게 큰 관심사로 떠오른 상황이다. 국내 보안기업 관계자는 "지난해 9월 국정원이 망개선 로드맵을 공개한 이후, 내부에서도 올해 사업 전략에 이를 반영해야 한다는 이야기가 제기돼 왔다"며 "SaaS 지원, AI 적용 등 주목하고 있는 기술 키워드와 연결돼 있어 많은 임직원들이 가이드라인 발표를 기다렸다"고 전했다.

다만 망개선 작업에 대한 우려도 여전하다. 그간 업계에서는 망분리 자체가 필요 없어진 것이 아니냐는 질문이 이어져 왔는데, 특히 내부망과 외부망을 물리적으로 단절시키는 획일적 망분리 시대가 저물었다는 평가가 나왔다. 그간 망연계 사업을 운영해온 보안 기업들의 명운도 갈리는 것이 아니냐는 관측도 지배적이었다.

이와 관련해 국정원은 '그렇지 않다'는 입장을 이어가고 있다. 국정원은 "N²SF는 기존 망분리를 폐지하는 것이 아니라, 현실에 맞게 일부 개선하는 것"이라며 "각급 기관에서 등급별 보안 대책을 고려해 망분리 유지나 개선 모두 가능하다"고 설명했다. 기관이 C·S·O 등급을 분류하면, 이에 맞게 망분리를 포함한 보안대책을 통제 항목에 따라 차등 적용할 수 있다는 취지다.

C·S·O 등급 분류 기준이 모호하다는 의견에 대해서는 "각급 기관은 이미 정보공개, 공공데이터법 등 관계 법령에 따라 보유 데이터를 공개·비공개로 분류하고 있다"며 "N²SF 등급 분류 기준도 이를 참고해 마련했기 때문에, 기존과 같이 자율적 검토와 분류가 가능하다"고 말했다.

새 보안 체계가 도입되면 CSAP와 같은 기존 인증제도에 대한 중요성이 희석되거나, 공공에 진출하려는 기업에 이중 부담이 가해질 수 있다는 우려도 지속되고 있다.

국정원은 CSAP와 이번 새 보안 체계가 대체재가 아닌, 상호보완적 관계로 볼 필요가 있다고 보고 있다. 원 측은 "과학기술정보통신부(이하 과기정통부)는 민간 클라우드 서비스의 보안 수준 인증 제도"라며 "국정원은 국가·공공기관 클라우드 등 정보화 서비스를 도입할 때 보안 요건 적합 여부를 검증하고 있어, 대상과 목적이 다르다"고 일축했다. 민간 보안을 이끄는 과기정통부와, 공공 보안을 이끄는 국정원의 역할과 대상이 다르다는 의미다.

다만 CSAP가 공공보안 정책과 일부 연계돼 있어, 영향이 없을 것이라고 단정 짓기 어렵다는 시각도 제기된다. 클라우드 보안인증 고시의 경우 국가기관 등이 이용하는 클라우드컴퓨팅서비스 보호조치에 대한 내용을 담고 있는데, 여기에는 클라우드컴퓨팅서비스 구축에 보안 기능 정보통신제품을 도입할 때 국가정보원장이 안전성을 확인한 제품을 사용해야 한다는 내용이 담겨 있다.

N²SF 시행에 앞서 공감대와 인식을 끌어올리는 작업이 관건이 돼야 하는 이유다. 국정원은 새 체계 적용에 필요한 준비 시간을 고려해 선도사업을 통해 확인된 미비점과 보완사항을 반영한 뒤 올해 7월 N²SF 보안 가이드를 정식 배포하고 시행할 계획이다. 전문가와 협의체를 통해 의견 수렴 작업도 이어갈 예정이다.