💌 후속 콘텐츠, 계속 받아보세요 ▶

최근 COVID-19로 인한 재택근무 증가, WFA(Work From Anywhere) 확산 등 최근 업무 환경의 변화와 접근 단말의 다양화로 보안 패러다임이 변화하고 있으며, 이에 대응하기 위한 노력들이 활발하게 이루어지고 있다. 2006년부터 현재 20년 가까이 시행되어온 망 분리 정책은 보안 강화 측면에서 효과성을 나타내고 있으나, 획일적인 망 분리 규제의 한계점은 지속적으로 대두되고 있다. 더불어, 최근 SK텔레콤의 대규모 유심 정보 유출 사고에서 시사하는 바 또한, 현재의 보안 위협은 망 분리 만으로 해결할 수 없음을 나타내고 있다.

이와 같이, 원격근무, 클라우드, 생성형 AI 활용 등 변화된 업무 환경, 고도화된 보안 위협에 효과적으로 대응하기 위한 망 보안체계 변화의 필요성 증가에 따라, 새로운 보안 패러다임을 반영한 국가 망 보안체계가 마련되었다.

본 칼럼에서는 기관 담당자들이 새로운 망 보안체계에 대응할 때 도움이 될 수 있는, N2SF 및 관련 기술, 동향을 살펴볼 예정이다. 국가 망 보안체계에 기본적인 설명, 도입 절차 등의 세부 내용은 국가 망 보안체계 보안 가이드라인(Draft)에서 확인할 수 있다.

01. 新 국가 망 보안체계, N2SF

새로운 국가 망 보안체계는 ‘National Network Security Framework’(이하 N2SF)라는 이름으로, 기존 다층보안체계(Multi Level Security, MLS)에서 보다 포괄적인 의미를 내포하고자 명칭을 변경했다.

N2SF의 목적은 ‘획일적인 망 분리 체계의 완화를 통한 공공데이터 활용 촉진 및 보안성 동시 확보’이다. 여기서 획일적인 망 분리 체계의 완화는, 기관 업무 정보, 정보시스템의 중요도와 상관없이 일률적으로 분리된 체계를 중요도 등급에 따라 차등 보안체계를 적용한다는 의미이며, 보안성 확보는, 차등 보안체계에 있어 새로운 보안 패러다임과 강화된 보안수준을 확보한다는 뜻이다.

N2SF 전체 흐름을 요약하면 다음과 같다. 기관에서 수행하는 업무의 정보를 관련 법령에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 3가지 등급으로 분류하고, 정보서비스 내 상이한 등급이 존재하는 경우 위협으로 식별한다. 위협 가능성이 존재하는 정보서비스 모델에 대해서는 등급 간 정보의 이동∙생산∙저장의 보안 원칙을 적용하여, 보안 통제 적용이 필요한 지점을 식별한다.이후 통제 적용 지점에 알맞는 통제항목을 선택하고, 구현 대책을 수립한다. 모든 과정이 올바르게 구성되었는지 적절성을 평가, 조정하고, 최종 국가정보원 보안성 검토를 의뢰, 승인 시 N2SF로의 체계를 전환하게 된다.

해당 절차는 5단계(보안성 검토 제외)로, 준비(Prepare), C/S/O 등급분류(Categorize), 위협식별(Identify), 보안대책 수립(Select), 적절성 평가∙조정(Access)으로 구성되어 있다. 통제항목은 권한, 인증, 데이터 등 접근 시 적용해야 하는 항목들로 구성되어 있으며 등급별 우선 검토사항(Baseline)으로 구분하여 지정하고 있다.

N2SF 적용 절차 단계는 미국 위험 관리 프레임워크(Risk Management Framework, RMF)와 유사한 형태로 구성되어 있고, 통제항목 또한 RMF에서 활용하는 미국 국립표준기술연구소(National Institute of Standards and Technology, NIST)의 특별 간행물(Special Publication, SP) 800 시리즈의 53번 문서 ‘정보시스템과 조직을 위한 보안 및 개인정보 보호 제어(Security and Privacy Controls for Information Systems and Organization)’의 항목들을 일부 참고하여 국내 환경에 맞추어 구성한 것을 확인할 수 있다.

더불어, 통제항목은 접근 시 이행되어야 하는 내용에 대해 개념적으로 정의되어 있으므로, 구체적인 통제 적용 수준을 정의하기 위해서는 새로운 보안 패러다임인 Zero Trust 개념을 반영한 Zero Trust 성숙도 모델(Zero Trust Maturity Model, ZTMM)을 참고하여 구체적이고 단계적인 보안성 향상을 기대할 수 있다.

N2SF의 쉬운 해설은 본 이글루플러스 ‘보안 101’에 서술 되어있다.

*보안 101 바로가기

위 그림은 N2SF 적용 절차에 따라 관련된 기술 문서들을 매핑한 것으로, 각 문서를 통해 기술적 배경을 파악하는데 도움이 될 수 있다. 본 칼럼에서는 그림에서 표현된 문서를 기준으로 서술할 예정이다.

02. National Institute of Standards and Technology, NIST

미국 상무부 산하 연구소인 NIST(National Institute of Standards and Technology)는 과학 기술 전 분야에 걸쳐 표준, 기술을 발전시키고, 특히 보안 분야에서 다양한 표준과 지침을 개발하여 국제적으로 중요한 역할을 수행하고 있다.

1) RMF(SP 800-37)

NIST에서 개발한 RMF는 모든 조직이 정보보안과 개인정보보호에서 위험을 관리하는 데 사용할 수 있는 포괄적인 위험관리 프레임워크이다. 이는 국가 망 보안체계 보안 가이드라인과 Zero Trust의 표준격(De facto) 문서인 NIST SP 800-207: Zero Trust Architecture에 언급될 뿐만 아니라, 국내 국방 보안체계(K-RMF)에도 적용하는 등 전반적인 조직 보안 체계에 활용 가능하다.

다음과 같은 7단계 절차로 구성되며 지속적인 보안 강화를 위해 순환되는 개념을 가지고 있다.

-준비(Prepare): 보안 요구사항 식별, 이해 관계자 파악, 팀 구성
-위험 분석(Categorize): 시스템, 네트워크 보안 위협 식별 및 분석, 영향 분석
-보안 통제 선택(Selection): 위험 평가 기반 통제(NIST SP 800-53) 선택
-구현(Implement): 선택된 통제 구현 및 설정, 정확성 및 완전성 검증
-평가(Assess): 구현된 보안 통제 효과 평가 및 검증
-인가(Authorize): 보안 요구사항 충족 및 적절한 보안 수준 제공 확인, 운영 승인 및 인가
-모니터링(Monitor): 보안 통제 지속 모니터링 및 평가, 보안 사고 탐지 및 대응

위 절차를 살펴보면, 모니터링을 통한 지속적 보안 강화를 제외하고 N2SF 도입 절차와 유사한 것을 확인할 수 있다. N2SF 체계 또한 실 운영 관점에서 RMF와 같이 도입을 완료한 이후에도 지속적인 모니터링과 정책, 통제항목 등 보안 강화를 위한 순환 프로세스가 필요할 것으로 보인다.

2) SP 800-53

정보기술연구소(Information Technology Laboratory, ITL)는 NIST의 6개 연구소 중 하나로, IT 및 계측학에 대한 신뢰를 구축하는 것을 목표로, 다양한 연구 문서를 제공하고 있으며, 이는 FIPS, SP, IR, ITL Bulletin, White Paper, Journal Article 등으로 분류된다.

이 중 SP 및 FIPS를 살펴보면 다음과 같다.

Special Publication(SP)

- 지침, 권장 사항, 참조 자료를 게시하기 위한 특별 간행물
- 사이버보안에 가장 적합한 그룹은 SP 800 시리즈로, 위험 관리, 프레임워크, 보안 요구사항, 보안 제어 등을 포함

Federal Information Processing Standards(FIPS)

- 비군사적 미국 정부 기관 및 계약업체의 컴퓨터 시스템에 사용하기 위해 개발한 공개적인 표준 시리즈
- FIPS 표준은 적합한 컴퓨터 보안 및 상호운용성을 보장하기 위한 요구사항을 설정

NIST RMF에서 선택하는 보안 통제의 기준이 되는 문서는 NIST SP 800-53으로, 미 연방 기관(또는 연방 기관과 관련된 민간 기업)이 준수해야 하는 보안 및 개인정보 보호 통제 목록을 제시하고 있다.

접근 통제(AC), 위험 평가(RA), 시스템 및 통신 보안(SC), 공급망 위험 관리(SR) 등 항목을 다음과 같은 Family 그룹으로 구분하며, 세부적으로는 1,000개 이상의 통제항목을 제공하고 있다. N2SF 통제항목과 비교해보면, SP 800-53 통제 항목에서 일부분 및 국내 환경에 맞추어 재정의 한 것을 확인할 수 있다.

3) FIPS 199

NIST의 FIPS 199: Standards for Security Categorization of Federal Information and Information Systems 문서는 정보 및 정보 시스템에 대한 보안 분류 표준으로, 기밀성, 무결성, 가용성을 기준으로 정보 시스템의 잠재적 위험을 판단하여 보안 수준을 낮음(Low), 보통(Moderate), 높음(High)으로 분류한다.

해당 문서를 통해 NIST 800-53의 적절한 보안 통제를 선택하는 기준이 된다.

4) SP 800-53B

SP 800-53의 확장 문서인 B는 800-53 통제항목에 대해 FIPS 199에서 정의한 보안 분류를 Baseline으로, 각 통제항목과 매핑하여 등급별로 적용이 필요한 항목을 제시하고 있다.

N2SF 보안 통제항목 해설서와 유사한 형태로, 특정 시스템이나 기관에 국한된 것이 아니라, 다양한 정보 시스템과 조직에 적용 가능한 기준을 제공한다.

03. Zero Trust Maturity Model, ZTMM

적절한 통제항목을 선택한 뒤에, Zero Trust 기반 성숙도 수준 별로 보안 대책을 수립할 수 있다. N2SF 가이드라인에서 Zero Trust 성숙도 모델을 직접 언급하지는 않지만, 보안 목표 달성을 위해 특정 보안통제 항목을 추가하거나 Zero Trust 기능성 강화를 위해 보안통제 항목의 세부사항을 조정할 수 있다고 설명한다.

따라서, 기준이 되는 통제항목을 선택한 뒤, 관련 내용을 ZTMM에 맞추어 세부적인 기술적 대책 수립과 단계별 도입 계획을 수립할 수 있다.

Zero Trust 성숙도 모델은 기둥이 되는 핵심요소(Pillar)와 기반이 되는 교차핵심요소(Cross-Pillar)가 포함된다.

국내 Zero Trust 가이드라인에서는 성숙도 수준을 4단계(기존, 초기, 향상, 최적화), 핵심요소를 6개, 교차 핵심요소를 2개로 구분하고 아래와 같은 핵심 역량을 제시하고 있다.

다음과 같은 예를 통해 N2SF 보안 대책 수립 시, Zero Trust Maturity Model을 고려할 수 있다.
NNSF-AC-2: 계정 상태 모니터링 ‘계정의 임시 생성, 수정, 활성화, 비활성화 및 삭제 등을 모니터링한다.’의 통제 항목을 선택하고 구현하고자 할 때, Zero Trust 가이드라인 ‘가시성 및 분석 교차’ 핵심요소의 ‘중앙집중적 보안 정보 및 이벤트 관리’ 역량을 고려할 수 있으며, 다음과 같은 성숙도 수준 별로 나누어 통제 항목에 대한 세부적인 도입 전략을 세울 수 있다.

-기존: 계정 상태 변화 로그/이벤트 수동 관리
-초기: 계정 관련 시스템에서 발생하는 로그/이벤트 자동 수집 관리
-향상: 중앙집중적 SIEM 시스템을 통해 실시간 보안 이벤트 분석 및 경고 생성
-최적화: AI를 도입한 SIEM 시스템을 통해 보안 이벤트 자동 분석 및 비정상 활동 실시간 탐지, 정책 자율 조정

04. 결론

N2SF는 클라우드, AI, 환경 변화 등 기존 망 분리 체계에서 효율성을 확보하면서, 효과적 보안체계를 영위하기 위한 새로운 국가의 망 보안체계이다. N2SF를 도입을 위해 업무정보 및 정보시스템을 포함하는 정보서비스를 분석, 등급분류, 통제항목을 수립하는 과정을 거쳐야 한다. 이 때, Zero Trust라는 새로운 보안 패러다임을 통해 구체화된 전략을 가져갈 수 있다.

‘22년 디지털플랫폼정부위원회 발족 이후 현재, 민간/공공 디지털 자원을 효과적으로 활용하기 위한 DPG(Digital Platform Governance) Hub를 구축하는 사업이 진행 중이며, DPG Hub 내 내부 민간/공공 데이터 서비스 활용을 지원하는 DPG 통합플랫폼, AI 공공서비스 개발을 지원하는 초거대 AI 플랫폼이 구현될 예정이다.

올해 공공기관 대상, DPG 통합플랫폼 대상, 초거대 AI 플랫폼 대상 총 3개 N2SF 실증 사업을 통해, 향후 기관이 N2SF를 도입하는 데 도움이 될 수 있도록 한다. 또한, 현재 국가 망 보안체계 보안 가이드라인은 초안(Draft)으로, 올해 하반기에 다양한 의견을 수렴한 본 가이드라인이 발간될 예정이라고 발표한 바 있다.

이와 같은 실증 사업, N2SF 가이드라인 정식 발간 등을 통해 향후 N2SF의 효과성 입증, 체계가 고도화 됨에 따라, 공공기관 외에도 금융, 민간 등 다양한 기관에 적용되는 보안체계로 확장될 것으로 보인다.

마지막으로, N2SF는 도입 이후에도 RMF에서 제시한 모니터링(7단계) 및 지속적인 운영, 보안, 정책의 개선이 필수적이다. 이글루코퍼레이션은 크게 ‘가시성 및 분석’, ‘통합 및 자동화’ 관점에서 Hybrid XDR 플랫폼을 구현하여, N2SF와 Zero Trust 환경 전반에 걸쳐 대응 가능한 통합 보안관제 체계를 구현 중에 있다.

05. 참고자료

[1] 국가 망 보안체계 보안 가이드라인(Draft), 2025.1, 국가정보원
[2] 국가 망 보안체계 보안 가이드라인(Draft) 부록1 보안통제 항목 해설서, 2025.1, 국가정보원
[3] NIST SP 800-53 rev5. Security and Privacy Controls for Information Systems and Organizations, 2020.9, NIST
[4] NIST SP 800-53B. Control Baselines for Information Systems and Organizations, 2020.10, NIST
[5] FIPS 199. Standards for Security Categorization of Federal Information and Information Systems, 2004.2, NIST
[6] NIST SP 800-37. Risk Management Framework for Information Systems and Organizations, 2018.12, NIST
[7] Zero Trust Maturity Model Ver2.0, 2023.4, CISA
[8] Zero Trust 가이드라인 2.0, 2024.12, 한국인터넷진흥원

💌 후속 콘텐츠, 계속 받아보세요 ▶