국정원, 국가망보안체계(N²SF) 최초 발표…하반기 업무망 분리 지침 개정

실시간
뉴스

보안

국정원, 국가망보안체계(N²SF) 최초 발표…하반기 업무망 분리 지침 개정

디지털데일리 발행일 2025-02-20 19:22:44

김보민 기자

URL복사

[ZT컨퍼런스] 국정원, 보안통제 항목 수립 중요

디지털데일리 ZT콘퍼런스서 N²SF 가이드라인 소개
"정보서비스 모델 추가…하반기 업무망 분리 지침 개정"

20일 서울 중구 전국은행연합회에서 <디지털데일리>가 개최한 '디지털 신뢰 새 패러다임, 제로트러스트 적용 전략' 콘퍼런스 현장.

[디지털데일리 김보민기자] 국가정보원(이하 국정원)이 국가망보안체계(National Network Security Framework·이하 N²SF) 가이드라인 초안을 발표한 이후 최초로 청중 앞에 섰다. 국정원 관계자가 직접 N²SF 도입 방안과 시행 계획을 소개한 것은 이번이 처음으로, 현장에는 차세대 보안 체계에 대한 궁금증을 가진 공공기관 및 보안업계 관계자들이 몰리며 인산인해를 이뤘다.

국정원은 20일 서울 중구 전국은행연합회에서 <디지털데일리>가 개최한 '디지털 신뢰 새 패러다임, 제로트러스트 적용 전략' 콘퍼런스에서 'N²SF 개념 및 주요 내용'을 주제로 발표했다.

이날 국정원은 지난 1월 가이드라인 초안에서 소개한 N²SF 차등 보안과 단계별 도입 방안을 소개했다. 국정원 관계자는 "기밀(C)·민감(S)·공개(O) 등급을 분류하고 차등 적용하며 필요한 경우 외부망에 연결점을 만들어주는 것이 큰 개념"이라며 "각 기관은 준비, C·S·O 등급 분류, 위협식별, 보안대책 수립, 적절성 평가 및 조정 등 다섯 단계로 보안 대책을 수립한 뒤 기본 지침에 따라 국정원 보안성 검토를 하는 절차로 돼 있다"고 소개했다.

국정원 관계자는 'N²SF와 국가 공공기관 정보보안 업무 간 무슨 관계가 있느냐'는 일부 질문에 "보안 담당 업무 담당자의 목표는 결국 정보 시스템"이라며 "이 정보 시스템을 통해 내외 정보 서비스를 제공하고, 그 정보 시스템과 서비스를 대상으로 N²SF 보안 통제 항목을 입히는 절차가 결국 국가망보안체계의 큰 답"이라고 설명했다.

특히 N²SF 보안 대책 중 보안 통제 항목을 수립하는 것이 중요하다고 꼬집었다. 국정원 관계자는 "원칙에 따라 데이터, 네트워크, 시스템, 운영체제(OS) 보안 대책을 할지 고민을 해야 하는데 이를 총망라하는 것이 보안 통제 항목"이라며 "현재 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 총 6개 영역에 180개 구성이 있고 추후 기술 수준을 고려해 지속 업데이트할 예정"이라고 부연했다.

아울러 N²SF의 경우 강제적 접근통제(MAC)와 속성 기반 접근통제(ABAC)를 융합한 하이브리드 방식을 취한다고 정의했다. 국정원 관계자는 "문서에 접근하고 열람하는 사람을 지정하고 접근 등급을 강화한 것이 강제적 접근 통제인데, 망보안 체계는 필요에 따라 외부 네트워크를 연결시키는 구조를 가지고 있다"며 "상황에 따라 유연하게 접근 통제를 허용하는 개념이 결론적으로 속성 기반 접근 통제와 결합된 형태라고 평가될 수 있다"고 말했다.

현장을 찾은 청중은 그간 국정원 N²SF 전략에 대해 궁금한 점을 쏟아냈다. 한 참석자는 "국가 공공기관은 감사를 받기 때문에 정부 정책이 법령에 반영되지 않으면 잘 움직이지 않는데, 고시 등에 반영할 계획이 있느냐"고 물었다.

이에 국정원 관계자는 "현재 업무망 인터넷망 분리 의무가 국정원법 아래 사이버안보 업무 규정에 담겨 있고, 그 밑에 국가 정보보안 기본 지침이 있다"며 "해당 지침에 인터넷 업무망을 분리해야 한다는 항목을 수정하는 작업을 진행 중"이라고 답했다. 이어 "N²SF를 반영한 개정안이 하반기에 다시 나올 예정"이라며 "내년부터 정보보안 관리 실태 평가 지표가 바뀔 전망"이라고 덧붙였다.

한 참석자는 "가이드라인은 법적 용어가 아닌 데다, '지침'이라는 용어와 어떻게 달리 봐야 하냐"고 질문했다. 이에 국정원 관계자는 "정보기술(IT) 기반 서비스 환경이 다양하다 보니, 사례별로 만들어내는 것이 보안 가이드라인"이라며 "보안 가이드라인이라는 용어가 모호하다는 점에 공감하며, 관련 부분을 검토해보겠다"고 답했다.

한편 국정원은 정보서비스 활용 모델 8개를 제시했고, 올 상반기에도 추가 모델을 지속 개발 및 업데이트할 예정이다. 아울러 업계와 의견 수렴 절차를 거쳐 올 하반기 정식 가이드라인을 배포해 시행할 방침이다.

국정원 관계자는 "망분리 정책이 시행됐을 당시에는 업무망에서 인터넷망을 빼면 돼 간단했지만, (N²SF의 경우) 다섯 가지 도입 절차가 있고 네트워크가 연결되는 만큼 신경 쓸 부분이 많다"며 "많은 기관에서 노력이 필요한 부분"이라고 밝혔다.

해킹 위협으로부터 공공 업무망을 보호하기 위해 인터넷망과 물리적 단절을 꾀했던 2006년과 지금의 주안점이 달라졌다는 취지다. 국정원 관계자는 "18년이 넘는 시간 동안 망분리 정책을 여전히 유지하는 기관이 있는 만큼, 1~2년 만에 전 기관에 정보서비스 구성이 바뀔 것이라고 예상하지 않는다"며 "안착이 되면 각 기관의 노력과 업계 의견이 필요해질 것"이라고 강조했다.

특히 보안 기술을 운용하는 전문 기업들의 참여가 관건이 될 것으로 내다봤다. 국정원 관계자는 "(N²SF는) 보안 요구 기준을 제시할 뿐 정형화된 틀이 없다"며 "소프트웨어, 하드웨어, 3종 시스템 융합 등 구현 방식을 형상화하지 않은 만큼 보안업계에서 관련 기술을 운용해 N²SF 대안을 제시해 주는 것이 중요해질 전망"이라고 말했다.