[임경호 기자]
국가정보원이 '국가 망 보안체계(N2SF) 가이드라인 1.0'의 대략적인 내용을 공개했다. 가이드라인에는 단계별 활동을 요약하는 방식으로 개념 설명을 보강했고, N2SF 적용 시 나올 수 있는 산출물의 양식 표준화와 글로벌 기준을 반영한 신규 개념도 정립했다.
'N2SF 가이드라인' 9월 공개...설명 보강·보안통제 항목 확대
국정원은 9일 서울 코엑스에서 열린 '사이버 서밋 코리아 2025'에서 "급격한 AI 대전환 상황에서 새로운 사이버 보안 위협에 선제적으로 대응하며 기술 혁신과 신기술 도입이 원활하도록 보안 정책을 지속적으로 최적화하겠다"며 신기술 및 공공데이터의 원활한 활용을 지원하는 N2SF 1.0 보안 정책을 9월 중 시행한다고 밝혔다.
 |
국정원은 9일 서울 코엑스에서 '사이버 서밋 코리아 2025'을 열고 신기술 및 공공데이터의 원활한 활용을 지원하는 N2SF 1.0 보안 정책을 9월 중 시행한다고 밝혔다. /사진=임경호 기자 |
국가정보원이 '국가 망 보안체계(N2SF) 가이드라인 1.0'의 대략적인 내용을 공개했다. 가이드라인에는 단계별 활동을 요약하는 방식으로 개념 설명을 보강했고, N2SF 적용 시 나올 수 있는 산출물의 양식 표준화와 글로벌 기준을 반영한 신규 개념도 정립했다.
'N2SF 가이드라인' 9월 공개...설명 보강·보안통제 항목 확대
국정원은 9일 서울 코엑스에서 열린 '사이버 서밋 코리아 2025'에서 "급격한 AI 대전환 상황에서 새로운 사이버 보안 위협에 선제적으로 대응하며 기술 혁신과 신기술 도입이 원활하도록 보안 정책을 지속적으로 최적화하겠다"며 신기술 및 공공데이터의 원활한 활용을 지원하는 N2SF 1.0 보안 정책을 9월 중 시행한다고 밝혔다.
1.0 버전은 올해 1월 배포한 가이드라인 초안을 보완한 것이다. 구조는 초안과 동일하다. '부록1'에는 보안통제 항목 요약 및 설명이 보강됐다. 보안통제 항목을 6개로 유지하면서 세부 항목을 기존 170여개에서 260여개로 확대했다. 보안솔루션을 활용한 보안통제 항목 구현 예시 등이 구체화됐다.
'부록2'에는 보안통제 항목 설명 및 예시가 보강됐다. 모바일, 무선, CDS 활용 모델이 추가되며 정보서비스 모델이 기존 8개에서 11개로 확대됐다. 공공부문은 제한 공유에서 대외 공개로 전환됐다.
특허청·과기정통부·행안부 등 공공 마중물로 빠른 확산 지원
국정원은 공공부문 확산을 마중물 삼아 시장의 빠른 정착을 위한 지원에 나설 예정이다. 과학기술정보통신부와 함께 N2SF 적용 시범사업을 진행 중이며 기관에서 자체적으로 도입을 추진하기도 한다.
 |
9일 서울 코엑스에서 국정원이 개최한 '사이버 서밋 코리아 2025'가 열리고 있다. 이날 공개 석상에 처음으로 모습을 드러낸 김소정 국가안보실 사이버안보비서관이 N2SF 정책 소개 세션에서 좌장 역할을 하고 있다. /사진=임경호 기자 |
특허청은 물리적 망이 분리된 업무 단말에서 외부 생성형 AI를 이용할 수 있다. 외부 인터넷에 접속하며 상용 인터넷망으로 특허 관련 업무 서비스를 이용 중이다. 또 국가과학기술연구회(NST)는 공간 제약 없이 단말을 사용 가능하다. 문서 중앙화 개념과 생성형 AI를 접목했다.
행정안전부는 범부처 공무원이 보안 걱정 없이 생성형 AI 서비스 간편하게 활용할 수 있는 범정부 AI 서비스 구축에 나섰다. 과기정통부는 보안등급이 다른 연계구간을 대상으로 N2SF 보안통제 항목을 적용한다.
또한 한국은행은 인터넷을 이용하고 데이터 라벨링 기반 통제 시스템을 활용하는 등 단일 단말로 내외부에서 업무를 볼 수 있다, 업무 시스템 접속 시 지속적으로 인증을 요하고 단말의 보안수준을 지속적으로 확인해 일정 수준 미달 시 전산망 접속을 차단한다.
이런 사례는 과기정통부의 지원 아래 내년에도 확대될 예정이다. 내년도 정부 예산안에 시범사업을 위한 예산안이 반영됐다. 예산안은 국회 심의 절차를 통해 확정된다.
CSP '중하' 요건 완화로 공공 시장 문턱↓...외산 진입 우려는 보완 예정
공공 클라우드 보안기준을 완화하는 방식으로 클라우드 보안 정책도 개선된다. '상중하' 등급제에서 '중하' 등급 기준을 개선한다. 민간 클라우드 사업자의 공공 시장 진출 요건을 완화한다는 계획이다.
이런 방향 속에 외산 클라우드 업체들의 공공부문 진입에 따른 침해사고 발생 우려는 추가적인 조치로 보완한다. 국정원 측은 "오는 12월을 목표로 추진 중인 '클라우드보안가이드라인' 개정안에 국내외 기업들의 의견을 수렴해 보안 정책을 보완 반영할 계획"이라고 밝혔다.
민감정보의 민간·공공 공동 활용 클라우드 시스템도 정립한다. 영역별 클라우드를 나눠 내외부 민감정보를 활용 가능하게 차등적 보안요건을 마련한다.
AI·클라우드 이용 활성화를 위한 보안 정책도 고도화한다. GPU 서비스 및 특정 하드웨어(HW)와 결합된 클라우드 등 특화 서비스는 도입에 제약이 없도록 별도 요건을 마련해 정책을 세분화한다.
또 AI 다양성에 따른 AI 유형별 보안대책을 수립한다. 2023년 최종 업데이트된 '생성형 AI 활용 보안 가이드라인'에 해당 내용을 반영해 오는 12월까지 개정할 예정이다. '국가클라우드컴퓨팅보안가이드라인'에 수록된 내용도 같은 기간 개정을 마칠 방침이다.
정부 웹 인증 SW 설치 없앤다...12월 SECaaS 보안 요건 정립도
IT 기술 활용 확대를 위해 정부 웹사이트 공동인증서용 보안 소프트웨어(SW) 개선안도 추진한다. 플러그인 보안 SW 설치 없이 공동인증서 등을 활용하도록 인증방식을 개선하는 내용이 담겼다. 관계기관과 합동으로 대민 서비스에 시범 적용 후 전 공공 부문에 적용해 민간의 확산을 유도한다. 클라우드 인증 체계가 바뀌게 되면서 변화 과정에 필요한 부분은 관계기관과 협조할 예정이다.
 |
9일 서울 코엑스에서 국정원이 개최한 '사이버 서밋 코리아 2025'의 N2SF 정책 소개 세션에 업계의 관심이 쏠리며 인파가 몰려 일부 인원이 행사장 한편에 서서 강연을 듣고 있다. /사진=임경호 기자 |
아울러 '국가정보보안기본지침' 내 플러그인 SW 설치 제한 규정을 신설하고, '사이버보안 관리실태평가지표' 등에 이를 반영해 정책의 실효성과 추진력을 강화할 전망이다.
12월을 목표로 클라우드 기반 보안서비스(SECaaS) 확산에도 나선다. SECaaS 보안 요건을 정립해 공공 부문에 다양한 신기술이 들어올 수 있게 정책을 만든다. 보안 적합성 검증제도와 클라우드 보안정책을 융합하고, 클라우드 기반 지능형 위협탐지 등 다양한 보안서비스 도입이 가능하게 지원한다.
같은 기간 모바일 기반 'O(공개) 등급' 업무 보안요건을 완화하는 방식으로 모바일 활용 업무 보안정책 고도화도 진행한다. O 등급 데이터를 처리하는 모바일 업무 유형을 신설하고, 모바일 가상화 적용 없이 단순 모바일용 웹으로 구축해 다양한 기능을 구현한다. 또 청사 내 인터넷용 이외 업무용 와이파이 보안요건을 신설해 무선랜 업무 활용 확대에 나선다.
국정원 측은 "각 기관이 신규 고도화 정보화 사업 추진 시 N2SF 보안 정책을 적극 반영하도록 권고할 예정"이라며 "공공에는 내년 과기정통부 주관 공공부문 N2SF 시범사업 공모에 적극 참여하도록 요청하고, 사이버보안 업계에는 N2SF 구현에 필요한 다양한 보안제품 및 서비스 연구, 개발을 당부해 기관의 도입을 앞당길 계획"이라고 강조했다.
임경호 기자 lim@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.