[ZT콘퍼런스] 국정원, 20일 국가망보안체계 직접 소개한다

실시간
뉴스

보안

[ZT콘퍼런스] 국정원, 20일 국가망보안체계 직접 소개한다

디지털데일리 발행일 2025-02-11 09:07:03

김보민 기자

URL복사

신용석 국가안보실 사이버안보비서관이 지난해 9월11일 서울 강남구 코엑스 'CSK 2024' 현장에서 참관객과 대화를 나누고 있다. 이날 국가정보원(이하 국정원)은 국가 망보안 정책 개선 로드맵을 공개했다.

[디지털데일리 김보민기자] 국가정보원(이하 국정원)이 국가망보안체계(National Network Security Framework·N²SF)를 직접 소개하는 자리를 가진다. 지난 1월 가이드라인 공개 이후 참가하는 첫 번째 대외 행사로, 업계 관심을 모은 N²SF 주요 사항과 향후 로드맵을 공유할 계획이다.

올해 창간 20주년을 맞은 <디지털데일리>는 2월20일 전국은행연합회 은행회관 국제회의실 2층에서 [디지털신뢰 새 패러다임, 제로트러스트 적용 전략] 콘퍼런스를 개최한다. 과학기술정보통신부(이하 과기정통부)와 서울시, SK쉴더스, SGA솔루션즈, 안랩, 지니언스, 엠엘소프트, BNK부산은행, 강남대학교 발표가 예정돼 있는 가운데 국정원도 마지막 발표자로 무대에 오른다.

국정원은 'N²SF 개념 및 주요 내용'을 주제로 청중을 만난다. N²SF는 정부 전산망을 업무 중요도에 따라 기밀(Classified·C), 민감(Sensitive·S), 공개(Open·O) 등급으로 분류하고, 보안 통제 항목을 차등 적용해 보안성과 데이터 공유를 활성화하는 체계로, 주요국 흐름에 따라 '프레임워크' 관점에서 접근한다는 점이 특징이다. 그간 다층보안체계(MLS)라는 이름으로 불렸지만, 미국 국방부 등이 사용하는 다중보안체계 용어와 혼동될 가능성이 있어 N²SF로 정식 명칭이 변경됐다.

국정원은 N²SF를 계기로 공공 분야에서 인공지능(AI)과 클라우드 신기술 활용이 활성화될 수 있을 것으로 기대하며, 올 1월 '초안(draft)'이라는 이름으로 첫 번째 가이드라인을 공개했다. 지난해 9월 '사이버서밋코리아(CSK) 2024' 행사를 통해 국가 망보안 정책 개선 로드맵을 공유한 이후 4개월 만의 성과다.

이번 콘퍼런스에서 국정원은 N²SF 전략에 대한 궁금증을 해소할 예정이다. 현재 공공을 비롯한 정보기술(IT) 업계 안팎에서는 N²SF 전환 시점, 도입 방법, 등급 분류 주체 등을 소개하는 자리가 필요하다고 이야기하고 있다. 국정원 또한 관계 기관 및 기업을 만나며 새 체계를 소개하는 자리를 가지고 있는데, 이번 행사에서 자세한 내용을 공유할 전망이다.

국정원은 가이드라인 배포 이후 전 국가 및 공공기관 서비스가 N²SF로 즉시 전환하냐는 질문에 "그렇지 않다"고 말하고 있다. 기관별 상황에 맞춰 점진적으로 전환을 권고할 방침인데, 각급기관은 시스템 규모와 예산 등 상황을 고려해 신규 구축 예정이거나 오래된 시스템을 새 체계에 맞춰 전환하면 된다는 입장이다. 대규모 시스템의 경우, 단기간 내 등급 분류와 전환이 어려울 수 있어 정보화전략계획(ISP) 실시를 수립한 뒤 점진적으로 추진하기를 제안하고 있다.

C·S·O 중요도를 분류할 주체로는 '각급기관의 장'을 꼽았다. 현재 민원인 정보공개를 청구할 때에도, 가능 여부를 각급기관 장이 판단해 결정하고 있는 만큼 N²SF도 유사 기준을 적용한다는 취지다. 아울러 각급기관이 정보공개 및 공공데이터법 등 관계 법령에 따라 보유 데이터를 공개·비공개로 분류하고 있는 만큼, C·S·O 등급 적용 역시 어렵지 않을 것으로 보고 있다.

클라우드보안인증제(CSAP) 등 기존 제도와 이중 심사가 이뤄지는 것이 아니냐는 질문에도 '아니다'라는 입장을 유지 중이다. 국정원은 정보화 사업 보안성 검토 과정에서 CSAP 인증 항목을 인정하고 있고, CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사와 검토 없이 공공 분야 보안 기준 위주로 검증한다는 이유에서다.

국정원은 올해 7월 N²SF 보안 가이드라인을 정식 배포하고 시행할 방침이다. 일각에서는 N²SF 시행 이후 망분리를 즉시 없애야 하냐는 질문이 나오는데, 국정원은 망분리를 폐지하는 것이 아닌 개선하는 개념으로 접근할 필요가 있다고 본다. 각급기관에서는 등급별 보안대책을 고려해 망분리를 유지하거나 개선하는 방향을 선택할 수 있다.

이번 가이드라인이 N²SF와 제로트러스트 개념과의 연관성을 언급한 만큼, 행사 현장에서 관련 질의가 나올 것으로 예상된다. 국정원은 가이드라인 참고 항목에 '국가망보안체계 기반 제로트러스트 적용 방법'을 추가해 오버레이(Overlay) 개념을 소개한 바 있다. 오버레이는 보안통제 항목을 조정하기 위한 세부 지침으로, 보안통제 항목을 구현할 때 고려할 세부사항(파라미터)를 지정하는 것이 특징이다. 통제 항목을 적용할 때 각 조직의 목표에 따라 N²SF와 제로트러스트 개념을 반영할 수 있다.

미국 국립표준기술연구소(NIST) 위험관리프레임워크(RMF)가 제시한 오버레이는 미 국방성(DoD)이 제로트러스트 보안을 이야기할 때 강조하는 키워드다. 미국 DoD가 제시한 제로트러스트 오버레이는 사용자, 기기(디바이스) 데이터, 자동화 및 오케스트레이션, 가시성, 애플리케이션 및 워크로드 등 보안 통제 항목을 요구한다. 조직은 개별 목표에 따라 통제 항목을 달리 설정할 수 있는데, 한국 또한 선진 사례를 반영할 필요가 커졌다고 보고 있다.

한편 국정원뿐만 아니라 주요 발표자들도 제로트러스트 적용 전략을 공유한다. 과학기술정보통신부는 '제로트러스트 확산을 위한 정책 추진현황', 서울시는 '서울시 EDR 및 제로트러스트 추진 현황과 전략'을 주제로 보안 인사이트와 향후 계획을 나눈다. 제로트러스트 가이드라인 2.0을 집필한 박정수 강남대 교수도 연사로 참여한다.

보안 업계도 현장을 찾는다. 안랩을 비롯해 ▲SK쉴더스 'SKZT(SK쉴더스 제로트러스트) 방법론 및 수행사례 소개' ▲SGA솔루션즈 'SGA ZTA 준비 컨설팅과 구축사례 소개' ▲지니언스 '국내 IT보안 환경을 고려한 제로트러스트 아키텍처' ▲엠엘소프트 '제로트러스트 실전 가이드: 기술적 구현과 전환의 과제' 등 기업들이 청중을 만나 제로트러스트 현주소와 기술을 소개한다. BNK부산은행은 '제로트러스트 구현을 위한 보안투자전략'을 주제로 그간의 성과와 계획을 공유한다.

사전등록은 디지털데일리 홈페이지를 통해 오는 19일까지 가능하며, 사전등록비 3만3000원 현장등록비 5만5000원(부가세 포함)이다. 한정된 좌석으로 선착순 접수가 진행될 예정이다.