[보안 101] 더보기 ▶

매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.

보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.

최근 IT 환경과 업무 방식이 빠르게 변화하면서 공공 분야 역시 새로운 전환기를 맞이하고 있습니다. 디지털 전환이 가속화되고 새로운 기술 활용이 확대되면서, 이를 안전하게 운영하기 위한 보안 정책의 변화 필요성도 점차 커지고 있습니다.

이러한 흐름 속에서 국가정보원은 최근 ‘국가 사이버보안 기본지침’ 개정안을 발표하며, 국가 망 보안체계(N2SF, National network Security Framework) 를 공식 반영하고 정보 중요도에 따라 보안 수준을 차등 적용하는 형태로 공공 보안 정책 개편에 나섰습니다. 이와 함께 AI·민간 클라우드 활용을 고려한 보안 대책과 보안 인력 및 예산 운영 기준 강화 등의 내용도 포함되면서 공공 보안 운영 전반에 적지 않은 변화가 예상되고 있습니다.

이번 보안101에서는 국가 사이버보안 기본지침 개정안의 주요 변화와 함께 N2SF 시대를 맞아 공공 보안 환경이 어떤 방향으로 변화하고 있는지 살펴보고자 합니다.

왜 지금 공공 보안 정책이 바뀌고 있을까

그동안 국가·공공기관의 보안 체계는 내부 업무망과 인터넷망을 물리적으로 분리하는 ‘망 분리’ 정책을 중심으로 운영되어 왔습니다. 이러한 방식은 외부 인터넷을 통한 침입 가능성을 원천적으로 줄일 수 있다는 점에서 높은 보안성을 제공했으며, 실제로 국내 공공 보안 체계의 중요한 기반 역할을 수행해 왔습니다.

하지만 최근 IT 환경은 빠르게 변화하고 있습니다. 생성형 AI, 클라우드, SaaS 기반 협업 환경, 원격근무 등 새로운 업무 방식이 확산되면서 기존의 획일적인 망 분리 정책만으로는 변화하는 업무 환경을 유연하게 수용하기 어려워졌습니다. 특히 공공기관 역시 AI 기반 업무 혁신과 클라우드 활용 수요가 증가하면서, 보안을 유지하면서도 새로운 기술을 활용할 수 있는 방향에 대한 요구가 커지고 있습니다.

국가정보원 역시 이러한 변화를 반영해 기존의 ‘차단 중심’ 보안 정책을 보다 유연하고 정교한 방식으로 전환하기 위한 개정안을 마련하게 되었습니다. 이번 개정은 단순히 망 분리 규제를 완화하는 것이 아니라, 데이터의 중요도와 위험 수준에 따라 보안 통제를 다르게 적용하는 방향으로 공공 보안 체계를 재설계하는 데 의미가 있습니다.

N2SF 기반 보안 체계, 무엇이 달라지나

이번 개정안의 핵심은 N2SF를 국가 사이버보안 기본지침에 공식 반영했다는 점입니다. 실제 개정 지침에는 내부망과 인터넷망 분리를 규정하던 기존 조문이 삭제되고, 「국가 망 보안체계(N2SF)」조항이 신설되며 업무정보의 등급 식별과 처리, 정보시스템 위치, 보안통제 등에 관한 기준이 새롭게 포함됐습니다.

기존 공공 보안의 기본 구조가 내부망과 외부망을 일률적으로 분리하는 방식이었다면, 앞으로는 업무 정보를 중요도에 따라 기밀등급(Classified)·민감등급(Sensitive)·공개등급(Open)으로 구분하고, 각 등급에 따라 서로 다른 보안 통제를 적용하게 됩니다. 즉 ‘망 자체를 분리하는 것’보다 ‘어떤 정보를 어떻게 보호할 것인가’를 중심으로 보안 정책의 기준이 이동하고 있는 것입니다.

기밀(C) 등급은 국가 안보나 정책에 영향을 줄 수 있는 핵심 정보에 해당합니다. 군사·외교·안보와 같이 국가적으로 민감한 정보로, 이는 기존과 동일하게 외부와 완전히 분리된 환경에서만 처리됩니다. 인터넷 및 클라우드 사용 역시 원칙적으로 제한됩니다.

반면 민감(S) 등급부터는 변화가 나타납니다. 내부 정책 검토 자료나 의사결정 과정 자료, 일부 개인정보와 같은 정보는 암호화·접근통제 등 필요한 보안 요건을 충족할 경우 외부망이나 클라우드 환경에서도 활용할 수 있습니다. 이는 기존의 ‘무조건 차단’ 방식에서 벗어나 보안 통제를 기반으로 데이터를 보다 안전하게 활용할 수 있게끔 관리하는 구조로 변화하고 있음을 의미합니다.

공개(O) 등급은 일반 인터넷 환경과 상용 클라우드 활용이 가능한 영역입니다. 이미 공개된 보도자료나 공공데이터와 같이 외부 공개가 가능한 정보는 민간과 유사한 형태의 업무 환경에서 보다 유연하게 활용될 가능성이 커지고 있습니다.

이러한 변화는 단순히 정보 등급을 새롭게 구분하는 수준에 그치지 않습니다. 정보의 중요도에 따라 정보시스템의 위치와 접근 권한, 데이터 저장 및 전송 방식, 클라우드 활용 범위까지 다르게 설계해야 하는 만큼 공공기관의 보안 운영 방식 자체에도 변화가 예상됩니다. 특히 민감(S) 등급 영역에 외부 클라우드 활용 개념이 포함되면서, 공공 영역에서도 클라우드 기반 업무 환경을 전제로 한 보안 체계 전환이 본격화되고 있다는 점이 주목됩니다.

다만 이러한 방식은 현장의 판단 역량이 매우 중요하게 작용합니다. 기관이 업무정보를 어떤 기준으로 분류하느냐에 따라 제도의 실효성과 운영 방향이 크게 달라질 수 있기 때문입니다. 만약 보안 사고에 대한 책임 부담으로 인해 대부분의 정보를 민감(S) 또는 기밀(C) 등급으로 분류하게 된다면, 결과적으로 기존 망분리 체계와 큰 차이가 없는 운영 방식으로 회귀할 가능성도 있습니다. 반대로 정보 등급을 지나치게 낮게 설정할 경우에는 정보 유출이나 보안 사고 위험이 커질 수 있습니다.

결국 이번 개정은 단순히 망 분리 규제를 조정하는 수준을 넘어 정보의 중요도와 활용 목적, 접근 환경 등을 종합적으로 고려해 보호 수준을 정교하게 설계하는 데이터 중심 보안 체계로 공공 보안 운영 방향이 이동하고 있음을 보여주고 있습니다.

그 외에도 달라지는 공공 보안 기준들

이번 개정안에서 주목할 부분 중 하나는 인공지능(AI) 시스템 보안 관련 조항이 새롭게 포함됐다는 점입니다. 개정 지침에 따르면 각급기관이 AI 시스템을 구축·운영할 경우 필요한 보안 대책을 수립·시행하도록 규정하고 있습니다. 이는 공공기관의 AI 활용이 본격화되는 상황에서 최소한의 제도적 안전장치를 마련했다는 점에서 의미가 있습니다. 다만 현재 조항은 방향과 원칙을 제시하는 수준에 가까운 만큼, 점진적으로 공공기관 환경에 맞는 AI 보안 세부 기준과 운영 체계를 보다 구체적으로 정비해 나갈 필요가 있을 것으로 보입니다.

그 외에도 공공 보안 운영 체계 전반을 강화하기 위한 다양한 내용이 함께 포함됐습니다. 우선 기존에는 권고 수준에 가까웠던 정보보안 담당 인력 및 보안 예산 기준이 보다 강화됐습니다. 각급기관은 정보화 담당 인력 대비 일정 수준 이상의 보안 인력을 확보하고, 정보화 예산 대비 일정 비율 이상의 보안 예산을 운영하도록 규정되면서 공공 보안 투자 확대 기반 역시 보다 제도화될 것으로 예상됩니다.

또한 민간 클라우드 도입 보안 기준 강화, 원격 근무자와 정보시스템 관리자 대상 다중 인증(MFA) 적용 의무화, 통합 보안 인증(SSO) 반영, 암호 알고리즘 및 암호자재 운영 관련 기준 정비, 플러그인 소프트웨어 강제 설치 최소화 등 급변하는 IT 환경을 반영한 여러 항목들이 함께 포함됐습니다. 이는 공공 보안 정책 역시 기존의 폐쇄형·획일적 운영 방식에서 벗어나 보다 유연하고 현실적인 방향으로 전환되고 있음을 보여주는 부분이라 할 수 있습니다.

전반적으로 이번 개정은 단순한 규제 완화를 넘어 공공 보안 운영 방식 자체의 변화를 보여주고 있습니다. 공공 보안이 기존의 ‘차단 중심 보안’에서 데이터와 사용자, 접근 행위에 대한 지속적인 관리와 통제 중심으로 이동하고 있다는 점에서 큰 의미를 갖습니다.

💌 후속 콘텐츠, 계속 받아보세요 ▶