현대 사회의 기술 발전 속도가 눈부시다. 새로운 기술이 끊임없이 등장하고 그에 따라 조직과 개인의 디지털 환경도 크게 변화하고 있다. 이러한 변화는 IT 시스템의 효율성과 생산성을 대폭 향상시키는 한편, 이를 대하는 우리들의 자세를 다시금 되돌아보게 한다. 특히 정보 보안적 측면이라면 더더욱 그렇다. 달라지는 환경에 따라 그 환경을 지키는 보안 전략이 유연하게 변화해야 하는 건 너무나 당연한 일이다. 그리고 그와 동시에 변화에 뒤처진 보안 정책은 시대에 역행하는 고루한 규제로 남아 발전한 기술이 주는 혜택을 제한하게 된다는 점 역시 간과해선 안 된다. 이러한 배경에서, 정부는 최근 국가 보안 체계 변화의 신호탄을 쏘아 올렸다. 그중 하나가 바로 망분리 규제 개선이다.

01. 시작된 국가 보안 체계의 세대교체

망분리 제도는 말 그대로 외부 인터넷망과 내부 업무망을 분리하여 사용하도록 하는 보안 정책이다. 네트워크와의 연결을 끊고 외부로 통하는 문을 원천 차단함으로써, 중요 정보를 다루는 내부 시스템을 각종 보안 위협으로부터 보호하겠다는 취지에서 도입됐다. 여기서 말하는 망분리란 주로 내부망과 외부망에 각각 연결된 PC 2대를 활용하는 물리적 망분리를 가리키며, 경우에 따라 예외적으로 가상화 등의 방법으로 1대의 PC로 망만 구분하여 사용하는 논리적 망분리가 병행되어 활용되기도 한다.

국내 망분리 정책의 시작은 2006년으로 거슬러 올라간다. 지난 2006년 국가사이버안전전략회의에서 처음 보고된 이후 정부∙공공 기관을 중심으로 시행된 망분리 규제는 점차 확산돼 현재는 일부 민간 기업으로까지 확대되었다. 금융, 정보통신서비스, 방산 업체와 같이 민감한 데이터를 다루는 조직은 내부망을 일반 인터넷망과 분리해 운영하면서 이를 통한 불법적인 접근이나 정보 유출 등의 위험을 사전에 방지해야 한다. 관련하여 공공, 금융, 민간 각 부문별로 국가정보보안기본지침, 전자금융감독규정, 개인정보보호법에 법적 근거도 존재한다.

이처럼 망분리는 국내 보안 정책의 근간으로 자리 잡아 지난 수년간 필수적인 보안 조치 중 하나로 여겨졌다. 실제 보안 강화 측면에서도 유의미한 효과를 보인다는 게 업계 중론이었다. 전 세계를 휩쓸었던 워너크라이(WannaCry) 랜섬웨어 공격에 국내 금융기관 피해가 전무했던 것도 해당 제도의 효과로 해석됐다. 다만 최근 들어 시대 변화의 흐름을 따라가지 못한다는 지적이 늘었다. 원격 근무, 클라우드, 더 나아가 생성형 AI 시대에 접어들면서, 달라진 IT 환경에 맞는 새로운 망분리에 대한 목소리가 커지고 있다. 달라진 업무 환경과 신기술을 반영할 수 있도록 제도 개선이 이뤄져야 한다는 주장이다.

02. 망분리 환경 개편의 중심, 다중계층보안(MLS)

이에 국가정보원은 올 초 대통령 국가안보실, 디지털플랫폼정부위원회 등 관계 기관과 산·학·연 사이버안보 전문가로 구성된 '민관 합동 망 보안정책 개선 TF’를 발족시키며, 망분리 체계에 대한 전면 개편을 추진한다고 밝혔다. 그리고 TF가 마련 중인 개선안의 중심엔 다중계층보안(MLS)이 있다.

Multi Level Security, MLS의 주요 골자는 매우 간단하다. 획일적인 망분리 규제에서 벗어나 중요도에 따라 등급을 나누고, 이에 맞춰 보안 강도를 차등 적용하는 것이다. 데이터를 C(기밀 정보·Classified), S(민감 정보·Sensitive), O(공개 정보·Open)의 3단계로 분류하고, 가장 낮은 등급은 아예 망분리에서 제외해 개방하는 게 핵심이다. 보호해야 하는 정보에 대한 보안은 더욱 강화하고 활용 가치가 높은 정보는 과감히 공유함으로써 폐쇄적이었던 공공데이터 체계와 업무 환경에 혁신을 꾀한다.

다시 말해 내외부 경계 중심이 아닌 데이터 중심 보안 체계로 전환하는 것이 이번 개편의 최종 목표다. 이를 위해서는 데이터뿐 아니라 사용자, 프로세스 등 시스템을 구성하는 모든 요소에 대해 보안 수준과 업무 영역에 따른 보안 등급, 보호 범주를 부여하고, 기준을 구체화해 그룹화하는 과정이 선행되어야 한다. 등급별로 어떠한 기술과 수단을 활용해 보안을 강화할지에 대한 대책 마련도 필수다.

국가정보원은 ‘MLS TF’를 꾸리고 보다 체계적인 계획 마련에 착수했다. MLS TF는 ▲MLS 체계 기밀 개선 ▲시범·실증 사업 ▲공공 빅데이터 활용 및 행정 효율화 ▲기술의 4가지 분과로 나뉘어 운영된다. 체계 기밀 개선 분과는 MLS 보안 체계 내 기밀 데이터 분류 기준을 세우고 이에 적합한 보호 방안을 모색하며, 시범·실증 사업 분과는 새로운 제도의 성공적인 안착을 위한 시범 사업 운영, 그리고 공공 빅데이터 활용 및 행정 효율화 분과는 망분리 제도 개선 취지를 극대화할 수 있는 여러 활동 전개에 집중한다. 마지막 기술 분과는 MLS 전환을 위한 기술 설계라는 가장 중요한 역할을 맡았다. 아무리 뛰어난 제도를 기획하더라도 그를 실현해 줄 기술이 없다면 말짱 도루묵이다. 이에 망분리뿐 아니라 다양한 보안 기술들을 융합해 각 단계에 최적화된 방어막을 재구성해야 한다.

망분리 개선안의 방향성을 엿볼 수 있는 MLS 프레임워크의 기본 윤곽은 올 3분기 중 발표될 예정이며, 로드맵은 올해 연말을 목표로 하고 있다. 앞서 공개된 프레임워크 초안은 정보, 업무, 통제, 대응, 회복의 5단계로 구성되어 있으며, 이를 토대로 각 단계에 맞는 정보 수준이 분류될 전망이다. 정보 보안 수준에 맞는 역할과 상황 기반 업무의 데이터 흐름을 통제하고 대응할 수 있는 체계를 규정하는 것이 해당 프레임워크의 궁극적 목표다.

03. 망분리 제도 개선의 핵심, 제로트러스트

제로트러스트는 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’라는 인식을 전제로 하는 보안 방법론이다. 제로트러스트 체계에서는 ‘신뢰할 수 있는 네트워크’라는 개념 자체가 없기 때문에 조직 내외부망에서 발생하는 모든 행동을 의심하고 주의해야 하며, 내부 사용자와 외부 사용자를 동일하게 취급한다. 한 마디로 모든 접근을 잠재적 보안 위협이라 바라보는 방식이다. 공격의 진화뿐 아니라 IT 환경이 빠르게 변화하면서 단순 경계를 기반으로 내 편과 네 편을 나누는 게 무의미해진 현시점의 상황을 잘 반영하고 있다.

즉 제로트러스트 관점에서 보았을 때 기존 망분리를 통하여 물리적 업무망에 접속한 사용자와 기기에 높은 신뢰도를 부여하는 건 더 이상 적합하지 않다. 발생하는 접근을 더욱 세밀하게 세분화하여 각각의 세그먼트에 대해 개별적으로 보안을 적용하는 방향으로 불확실성을 최소화할 필요가 커졌다. 현재 정부가 준비하고 있는 MLS의 기조와 맞닿아있다.

오늘날 우리는 빠른 비즈니스 환경 변화에 발맞추기 위해 민첩한 대응을 매우 중요히 여긴다. 다만 문제는 이러한 민첩성 요구와 보안의 요구가 충돌할 때다. 보안은 효과적으로 설계되지 않으면 민첩성을 저해하는 걸림돌이 될 수 있다. 발전한 기술이 주는 혜택을 마음껏 누리기 위해서는 보안과 민첩성 그 사이에서 균형점을 찾는 일이 반드시 선행되어야 한다는 사실을 잊지 말아야 할 것이다.