새해 망분리 사업, '국가망보안체계'로 변경 요청…제도 안착 유인

ⓒ게티이미지뱅크

새해 시범사업을 시작으로 공공분야의 획일적인 망분리 정책 개선을 목표로 하는 '국가망보안체계(N²SF)'가 시행된다. 국가정보원은 망분리 사업이 예정된 공공기관에 국가망보안체계로 설계 변경을 요청하는 등 제도 조기 안착에 주력할 계획이다.

25일 정보보호업계에 따르면, 국정원은 이달 들어 정부부처와 공공기관, 지방자치단체, 정보보호산업계를 대상으로 연이어 국가망보안체계 설명회를 개최했다.

국정원은 올해 1월부터 태스크포스(TF)를 꾸리고 지난 2006년 도입한 획일적인 망분리 정책에 대한 대대적인 개선에 나섰다. 업무정보·정보시스템 중요도에 따라 기밀(C)·민감(S)·공개(O) 등 등급을 나눠 보안을 차등 적용하는 개선책을 마련했으며, 공공분야에서 인공지능(AI)·클라우드 등 신기술을 사용하고 공공데이터를 활용할 수 있는 여건을 조성한다는 게 핵심이다.

국정원은 정책을 구체화한 국가망보안체계 가이드라인 버전2를 마무리한 상태다. 새해 2월 발표하는 가이드라인은 본문과 부록 1·2로 구성된다.

우선 본문엔 국가망보안체계 개념과 기본 보안원칙, 국가망보안체계 적용을 위한 다섯 단계 절차와 절차별 세부 활동을 담는다.

국가망보안체계 전환은 정부부처와 공공기관이 획일적인 망분리 정책 대신 자율적으로 보안 정책을 수립해야 한다는 의미다. 각급기관은 △준비 △C·S·O 등급 분류 △정보서비스 모델링 △보안대책 수립 △적절성 평가·조정 등 다섯 단계를 거쳐 국가망보안체계를 적용해야 한다.

등급 분류의 경우 중앙행정기관은 정부기능별분류체계(BRM)를, 공공기관과 지자체는 해당 기능분류체계를 기준으로 한다. 또 복수 등급의 정보가 저장된 정보시스템 등급은 상위 등급의 정보가 기준이 된다. 99%가 O등급 정보이여도 1%가 S등급이면 해당 정보시스템은 S등급으로 분류되기에 정보시스템을 등급별로 분리할 것을 권고한다.

국정원은 기관과 보안담당자가 업무 부담과 책임이 대폭 증가할 수 있지만, 보안 정책 자율성과 책임 의식이 향상될 것으로 보고 있다.

부록1엔 보안통제 항목 정의와 구현을 위한 기술적 수단, 예시가 담긴다. 특히 보안통제 항목에선 기존의 국가정보보안기본지침 등 각종 가이드라인에서 요구한 형태와 다르다는 것을 확인할 수 있을 것으로 보인다. 국가망보안체계는 정보보호산업계의 보안기술의 다양성을 인정한다는 콘셉트로, 정형화된 기술 규정에서 탈피했다는 게 국정원의 설명이다.

부록2엔 정보서비스 모델 해설서가 담긴다. 국가망보안체계 전환을 위한 추진과제로 선정한 정보서비스 모델 중 '업무 단말의 인터넷 이용'이 단연 눈에 띈다. 이 모델은 개인용컴퓨터(PC) 1대로 인터넷을 사용하면서 업무 영역에 진입해 민감한 업무도 처리할 수 있도록 하는 것으로 이번 정책의 궁극적인 목표이기도 하다. '클라우드 기반 통합 문서체계'는 통합 문서체계를 활용해 업무자료 생산·공유·협업이 가능하도록 하는 게 골자다. 공공기관이 한컴 기반 문서 체계이므로, '온라인 한컴 오피스'로 보면 된다.

국정원은 새해 물리적 망분리를 포함한 망분리 사업을 계획한 기관에 대해 국가망보안체계로 설계를 변경하도록 요청한 상태다. 또 정보서비스 모델 중 기간·예산이 부담이 적은 모델을 정보화 사업으로 적극 추진하도록 독려하고 있다.

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]