컨텐츠 바로가기

02.22 (토)

[이슈플러스]국가망보안체계 시대 개막…공공엔 과제·산업계엔 지원 중책

0
댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

ⓒ게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>


정부가 획일적인 망분리 정책을 탈피한 국가망보안체계(N²SF) 가이드라인을 발표하면서 신 보안 체계 시대의 서막을 알렸다. 정부부처·공공기관은 망분리 이외의 보안정책을 적용해 정보기술(IT) 신기술을 활용하는 동시에 보안 역시 강화해야 하는 숙제를 안았다. 또 정보보호산업계는 공공 부문이 보안성과 데이터 공유 활성화 두 마리 토끼를 잡을 수 있도록 지원하는 중책을 맡게 됐다.

국가정보원은 최근 업무 중요도에 따라 기밀(C)·민감(S)·공개(O) 등급으로 분류하고, 보안통제 항목을 차등적으로 적용하는 내용의 국가망보안체계 가이드라인을 공개했다.

국정원은 강력한 보안 효과를 보인 망분리 정책이 인공지능(AI)·클라우드 등 IT 신기술 도입과 공공 데이터 활용을 가로막는 장애물 처지에 놓임에 따라, 지난해 초 관계기관과 산·학·연 전문가와 함께 민·관 태스크포스(TF)를 구성해 국가망보안체계를 수립했다.

기존 망분리 정책과 국가망보안체계 비교(국가정보원 제공)

<이미지를 클릭하시면 크게 보실 수 있습니다>


국가망보안체계는 디지털전환(DX) 등으로 사이버 위협에 직면한 국가·공공기관의 업무·기능 보호를 위한 기본원칙과 세부절차를 제공한다. 국가·공공기관이 정보화사업 계획·시행 시 발생할 수 있는 보안 위협을 사전에 식별하고, 위험수준을 평가해 보안대책을 수립할 수 있도록 했다.

구체적으로 준비-C·S·O 등급분류-위협식별-보안대책 수립-적절성 평가·조정 등 총 5단계로 구성된다.

먼저 첫 단계로 국가망보안체계 운영에 필요한 기초 정보를 수립하고 제반 활동을 준비한다. 구체적으로 △정부기능분류체계, 지방기능분류체계, 기관 자체 정부기능별분류체계(BRM) 등에 따른 업무·기능을 분석하고 △기능별로 업무정보를 나눠 △업무정보 생산·저장·처리·전송 등 정보시스템을 식별한다. 이후 정보서비스를 파악해 국가망보안체계 수행 절차에 필요한 기반 논리를 구축한다.

특히 각 단계의 활동별 책임자를 임명하고 관련 역할과 권한을 정의해야 한다. 국가망보안체계는 망분리가 아니라도 다양한 보안기술을 도입할 수 있다는 게 핵심 콘셉트다. 국정원은 책임자 임명과 관련해 국가망보안체계의 특성상 각급기관이 보안대책의 수립·운영 등에서 자율성과 책임성을 함께 갖도록 하기 위한 것이라고 설명했다.

이번 가이드라인에선 C·S·O 등급 분류 기준도 명확히 밝혔다. 그간 현장에선 등급 분류 기준이 모호하고 실제 운용 시 책임 부담 등으로 인해 되도록 상위 등급으로 지정해, 제도 도입 취지가 무색할 것이란 볼멘소리도 나왔다.

각급기관은 정보공개법·공공데이터법·보안업무규정 등 관련 법령에서 규정한 비공개 정보는 중요도에 따라 소관 업무를 대상으로 C·S로 분류하고 나머지 정보는 O로 분류한다.

정보시스템 등급 분류의 경우, 하나의 정보시스템에 동일 등급의 업무정보만으로 저장 시엔 해당 업무정보 등급이 곧 정보시스템 등급이 된다. 100% O등급의 업무정보를 보유한 정보시스템은 O등급으로 분류하는 식이다.

다만 하나의 정보시스템에 복수 등급 업무정보를 포함할 경우 선택의 기로에 놓인다. 가장 높은 등급을 해당 정보시스템의 등급으로 분류하거나 동일 등급의 업무정보별로 정보시스템을 분리하는 것이다. 전자는 보안성은 높지만 과도하게 상위등급으로 분류해 데이터 활용도를 낮추고, 후자는 시스템 분리에 따른 비용이 발생한다. 국정원은 망정책 개선 취지를 살리기 위해 정보시스템을 등급별로 분리할 것을 권고한다.

국가망보안체계와 국가공공기관 정보보안 업무의 관계.(국가정보원 제공)

<이미지를 클릭하시면 크게 보실 수 있습니다>


위협식별 단계에선 서로 다른 보안등급 간 위협요소를 식별하고 보안대책 적용 구성요소(지점)를 발견하기 위한 위협 모델링을 수행한다. 정보서비스 위협 모델링을 토대로 서로 다른 보안등급을 식별해 보안대책이 필요한 지점을 도출할 수 있다. 또 보안통제 기준선을 통해 보안통제 항목 선택이 가능해진다.

특히 정보서비스 위협 식별 방법론으로 '위치-주체-객체' 모델링과 함께 '정보 생산·저장' 원칙, '정보 이동' 원칙을 제시했다. 망분리 정책 개선의 계기가 된 '업무환경에서 생성형 AI 활용'을 위한 정보서비스를 예로 들었다.

내부망(S등급)에서 업무단말(S등급)이나 온북(S등급)으로 인터넷에 위치한 생성형 AI 서비스(O등급)를 이용하는 경우, 위치(내부망)와 주체(업무단말·온북) 모두 S등급이며 객체(생성형 AI 서비스)는 O등급에 해당한다. 이때 S등급 업무정보를 생성형 AI 서비스(O등급)에서 활용할 시, S등급 업무정보가 O등급에서 생산·저장되는 위협이 발견된다. 생성형 AI 서비스에서 보안대책이 반드시 필요한 것이다. 만약 O등급 업무정보를 활용한다면 문제가 안 된다.

가이드라인은 정밀한 위협식별을 위해선 정보서비스 유스케이스(사용 시나리오)를 세분화해 분석할 필요가 있다고 강조했다.

이후 이를 기반으로 업무정보·정보시스템에 대한 보안통제 항목을 선택·조정하고, 보안통제 구현계획을 수립한다. 보안통제 항목은 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 6개 영역으로 구성됐다.

최종적으로 단계별 활동 결과를 통해 평가하고 조정·보완한다. 다섯 단계를 모두 마쳤다면, 국가정보보안기본지침에 따라 국정원 보안성 검토를 거치게 된다.

아울러 국정원은 국가망보안체계를 공공기관의 업무절차와 인식의 틀로 정착할 필요가 있다고 강조했다. 국가망보안체계가 국가·공공기관이 일관된 방법으로 정보서비스 위협에 대한 적절한 보호대책을 마련하는 한편 보안수준을 유지하도록 돕는 일련의 지침·원칙이라는 게 국정원 측의 설명이다. 또 기관의 특성과 함께 기술적 상황과 비기술적 상황 등을 함께 고려해 추진하는 게 바람직한다고 제언했다.

국정원은 올해 상반기 선도사업 등을 통한 안전성 검증과 희망기관 대상 컨설팅 등 국가망보안체계가 조기 안착할 수 있도록 지원할 방침이다. 나아가 하반기엔 가이드라인의 미비점을 보완한 뒤 정식 배포하는 등 정책을 본격 시행할 계획이다.

정보보호산업계 관계자는 “국가망보안체계가 시행되면 각급기관의 상황과 여건에 따라 다양한 보안 기술 수요가 늘어날 것으로 기대된다”면서 “2006년 망분리 정책 도입 이후 19년 만에 전환점을 맞은 만큼 보안성과 데이터 활용성 모두 충족하기 위해 역할을 다할 것”이라고 말했다.

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.