보안

망분리 개선 초읽기…보안정책 적용 없는 'I 등급'이란?

김보민 기자

[ⓒ픽사베이]

[디지털데일리 김보민기자] 망정책 개선안의 핵심인 '데이터 등급'이 총 네 가지로 구성될 전망이다.

기존 C(Classified·기밀), S(Sensitive·민감), O(Open·공개) 등 세 가지 중요도 등급에 I(Internet·인터넷)를 더하는 것이 핵심이다. 등급별로 논리적 망분리 적용에 대한 윤곽도 함께 마련될 것으로 보인다.

29일 관련 업계에 따르면 망정책 개선을 추진하고 있는 다중보안체계 태스크포스(MLS TF)는 올해 3분기 중 기본 윤곽을 완성할 방침이다.

앞서 윤석열 대통령은 인공지능(AI) 시대에 발맞춰 공공데이터 활용 체계를 마련하라고 지시했고, 이에 국가정보원(이하 국정원) 주도 TF는 민관 전문가를 필두로 망정책 개선안을 준비해왔다. 분야별 전문가와 4개 분과를 구성해 세부 실행계획을 수립하는 중이다.

이번 가이드라인의 핵심은 데이터 등급 기준을 마련하는 것이다. 물리적 망분리를 기반으로 업무망과 인터넷망을 획일적으로 분류했던 과거 규제식 방법론에서 벗어나, MLS를 기반으로 업무(데이터) 중요도에 따라 보안체계를 차등 적용하자는 취지다.

그간 망분리 개선안에 포함될 것으로 알려진 등급은 C·S·O 등 세 가지다. C는 국가 비밀, 안보, 국방, 외교, 수사 등 기밀정보와 국민 생활 및 안전과 직결된 정보를 뜻한다. S는 비공개 정보 등 개인 혹은 국가 이익이 침해되는 민감 정보다. O는 비식별화된 민감정보나 행정정보처럼 기타 공개 정보를 의미한다.

법령상 제한사항이나 특별한 사유가 없는 경우에는 O 등급으로 분류하고, 국가기밀 혹은 비공개 업무는 기준에 따라 C 혹은 S로 구분하는 방식이다. 이 과정에서 등급별로 보안 요구 수준을 반영하고, 기관 특성과 정보 접근성을 고려해 보안 정책을 추가 적용하게 될 전망이다.

CSO가 데이터 중요도에 따른 '업무 영역'을 다룬다면, I는 이름 그대로 '인터넷 영역'을 다루는 역할을 한다. 통제 요소 없이 단순 인터넷에 기반한 정보 혹은 환경을 분류할 때 적용된다. 다른 등급과 달리 별도 보안 정책을 적용할 필요도 없다. 누구나 열람이 가능한 공공 홈페이지나, 여기에 올라온 게시물 등이 I에 해당할 것으로 예상된다.

이번 망정책 개선안의 궁극적인 목표는 한 대의 PC에서 CSO와 I를 모두 다루는 것이다. 다만 기술적인 성숙도가 무르익지 않아 악성코드 감염으로 인한 피해를 배제할 수 없는 상황이다. 때문에 TF 안팎에서는 CSO와 I를 논리적으로 분리하는 방안을 살펴보고 있는 것으로 전해진다. 논리적 망분리를 가능하게 할 방안으로는 가상데스크톱인프라(VDI), 원격브라우저격리(RBI) 등이 거론된다.

업계에 따르면 관련 가이드라인 초안은 9월 중 나올 예정이다. 국정원 측은 이달 정보보호의날 행사에서 오는 9월 열리는 국제 행사 '사이버서밋코리아(Cyber Summit Korea)' 행사를 계기로 정책 공표가 예정돼 있다는 점을 시사하기도 했다. 망정책 개선안에 대한 기본 통제 항목에 대해서는 내년까지 연구가 이어질 예정이다.

한편 공공기관을 대상으로 망분리 정책을 펼쳐온 보안 기업들은 추후 발표에 따라 사업 방향을 재편할 준비를 하고 있다.

망분리 완화가 기본적으로 제로트러스트 방법론에 기인하고 있다는 점을 고려했을 때, 관련 제품에서 신규 수요가 발생할 수 있다는 낙관적인 의견도 나온다. 국내 망연계 기업 관계자는 "논리적 망분리라는 개념이 더해지는 것이지, 물리적 망분리가 사라지는 것은 아니다"라며 "정책 여파를 지켜볼 예정"이라고 말했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널