보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
[보안 101] ‘2026년도 사이버보안 실태 평가지표’ 개정 내용으로 본 공공 보안 정책의 변화
2025.12.17
980
매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.
보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.
사이버보안은 더 이상 개별 조직의 기술적 문제에 국한된 사안이 아닙니다. 행정·복지·재난 대응 등 국가 핵심 기능이 디지털 기반으로 운영되는 현 시점에서, 사이버보안은 이러한 시스템이 안정적으로 작동하기 위한 필수적인 전제 조건으로 자리 잡았습니다. 공공 서비스 시스템을 둘러싼 다양한 침해 시도와 운영 장애 사례는, 사이버 위협과 시스템 중단이 단순한 IT 사고를 넘어 국가 운영 전반의 리스크로 확산될 수 있음을 보여주고 있습니다. 이러한 상황 속에서 국가정보원이 공개한 「2026년도 사이버보안 실태 평가지표」는 단순한 평가 기준의 개편을 넘어 향후 국가·공공기관의 사이버보안 정책이 어떤 방향으로 전환될 것인지를 가늠할 수 있는 중요한 기준점이라 할 수 있습니다.
본 칼럼에서는 먼저 사이버보안 실태 평가의 개념과 역할을 살펴보고, 2026년도 평가지표의 주요 개정 내용을 짚어본 뒤, 이를 바탕으로 공공 사이버보안 환경이 앞으로 어떤 방향으로 변화할지 전망해 보고자 합니다.
01. 사이버보안 실태 평가란 무엇인가요?
사이버보안 실태 평가는 국가정보원이 국가·공공기관의 사이버보안 대응 역량을 점검하기 위해 2007년부터 매년 시행해 온 제도입니다. 중앙행정기관과 광역자치단체, 공공기관을 대상으로 사이버 공격과 각종 위협에 대한 예방·대응 체계가 적절히 구축·운영되고 있는지를 종합적으로 평가하는 것이 목적입니다. 이 제도는 국가정보원법과 사이버안보업무규정, 전자정부법, 공공기록물관리법 등을 법적 근거로 하며, 정보보안 환경의 변화와 최신 사이버 위협을 반영해 평가지표를 지속적으로 수정·보완해 왔습니다.
평가는 단순한 서면 점검에 그치지 않습니다. 평가 대상 기관은 사전에 공지된 평가지표를 기준으로 일정 기간 자체 평가를 수행하고, 국가정보원은 이를 토대로 현장 실사를 진행해 평가 결과의 객관성과 적절성을 검증합니다. 이 과정에서 외부 전문가가 참여할 수 있으며, 증빙자료 제출이나 담당자 면담 등도 함께 이뤄집니다. 현장 실사 이후에는 기관이 추가 자료를 제출해 이의 신청을 할 수 있고, 국가정보원은 이를 검토해 최종 평가 결과를 확정합니다.
확정된 평가 결과는 실제 행정 운영 전반에 직접 반영됩니다. 각 기관은 평가 결과를 바탕으로 자체 정보보안 정책을 보완하고, 미흡한 사항에 대해서는 개선 조치를 이행해야 합니다. 또한 평가 결과는 정부업무평가에 반영되며, 국무조정실을 통해 국무회의에 보고됩니다. 국가정보원은 평가 과정에서 공통적으로 드러난 취약 요인을 정책에 반영하고, 다음 해 평가에서 개선 여부를 집중 점검하는 방식으로 제도의 실효성을 높이고 있습니다.
특히 2023년부터는 평가 결과를 ‘우수·보통·미흡’의 3등급으로 구분해 대외 공개하고 있습니다. 이는 사이버보안 실태 평가가 내부 점검 수준을 넘어 기관의 보안 수준과 책임성을 국민에게 공개하는 공적 기준으로 기능하고 있음을 의미합니다. 다시 말해 이 제도는 공공 부문의 사이버보안 역량을 관리·감독하는 핵심 거버넌스 수단으로 자리 잡았다고 볼 수 있습니다.
02. 2026년도 사이버보안 실태 평가지표, 무엇이 달라졌나요?
2026년도 사이버보안 실태 평가지표 개편의 핵심은 신기술 도입 촉진과 재난 대응 역량 강화에 있습니다. 정부의 ‘3대 AI 강국 도약’ 정책 기조와 ‘범부처 정보보호 종합대책’의 이행력을 높이기 위해, 평가지표 전반이 보다 실질적인 대응 역량 중심으로 조정됐습니다.
먼저, 공공기관의 보안 환경에 신기술을 적극적으로 도입하도록 유도하는 장치가 강화됐습니다. AI 기반 보안관제 시스템 등 AI 기술을 보안 업무에 적용하거나, 차세대 국가 망 보안 정책인 ‘국가 망 보안체계(N2SF)’를 구축한 기관에 대해 각각 가산점을 부여하는 항목이 새롭게 도입됩니다. 특히 기존에 일률적으로 적용되던 ‘망분리 시행’ 지표는 ‘N2SF 적용’ 항목으로 전환되어, 보안 정책이 기술 환경 변화에 맞춰 보다 유연하게 적용되도록 개선됐습니다.
재난과 장애 상황에 대한 대응 역량을 보다 엄격하게 평가하려는 변화도 이번 개정의 중요한 특징입니다. 구체적으로 재난 방지대책 수립, 사이버공격·재난 대응 훈련, 정보보안 예산 확보 항목의 배점이 모두 상향 조정되며, 형식적인 계획 수립 여부가 아니라 실제 위기 상황에 대비한 준비 수준과 실행 역량을 중점적으로 점검하겠다는 의도를 담았습니다.
이와 함께 평가의 전문성과 공정성을 높이기 위한 제도적 보완도 병행됩니다. AI와 클라우드 등 신기술 환경에 대한 이해를 갖춘 전문가의 평가위원 참여 비율을 확대하고, 지역 기반 사이버보안 활동 경험을 가진 전문가의 참여도 늘려 기관별 환경과 특성을 보다 입체적으로 반영할 수 있도록 했습니다. 이는 평가 결과에 대한 신뢰도를 높이는 동시에 공공 부문 전반의 사이버보안 수준을 균형 있게 끌어올리기 위한 조치로 해석됩니다.
03. AI 보안과 N2SF로 시작된 공공 사이버보안의 변화
이번 개정은 단순히 새로운 기술 항목을 추가한 데 그치지 않습니다. AI 기반 보안 기술 도입과 국가 망 보안체계(N2SF) 구축 여부를 평가의 중심에 배치함으로써, 공공부문 보안 정책의 우선순위를 분명히 드러냈다는 점에서 의미가 큽니다. 아울러 정보보호 예산 확보, 재난 방지대책 수립, 대응 훈련 강화 등 관리·운영 영역까지 비중있게 평가함으로써, 사이버보안을 개별 기술이나 시스템 차원의 문제가 아닌 조직 전반의 운영 역량 문제로 바라보는 관점의 전환을 보여주고 있습니다.
이번 평가지표 개편을 계기로 공공 사이버보안 환경은 분명한 전환 국면에 접어들 것으로 예상됩니다. AI 보안과 N2SF가 명확한 평가 요소로 자리 잡으면서, 그동안 중장기 과제로 논의되던 기술과 정책이 더 이상 ‘검토 대상’이 아닌 ‘이행해야 할 과제’로 성격을 바꿔가고 있기 때문입니다.
이러한 변화 속에서 공공 사이버보안은 더 이상 안정성 확보에만 머무르지 않고, 변화하는 위협 환경에 대응하기 위한 기술적 유연성과 운영 효율을 함께 고려해야 하는 단계로 접어들고 있습니다. 이에 따라 AI 보안과 N2SF와 같은 새로운 체계를 각 기관의 환경에 맞게 설계하고, 이를 안정적으로 운영·고도화할 수 있는 역량도 한층 더 중요해질 전망입니다.
| 「2026년도 사이버보안 실태 평가지표」 자료 링크 ✅ 국가사이버안보센터 > 자료실 > 지침·가이드·공시 > 17번 게시물 |
