베일 벗은 국가망보안체계 보안가이드라인…신규 시스템부터 우선 적용

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

정부가 공공 망 보안정책 개선 일환으로 추진하고 있는 국가망보안체계(N²SF·National Network Security Framework)가 베일을 벗었다. 국가·공공기관은 시스템 규모·예산 등에 맞춰 신규 구축하거나 내구연한 도래 시스템부터 우선적으로 국가망보안체계로 전환한다.

국가정보원은 23일 “데이터 활용성과 보안성을 동시에 충족하는 국가 망보안체계로 전환을 추진하고 있다”면서 국가망보안체계 보안가이드라인을 공개했다.

앞서 정부는 지난해 인공지능(AI)·클라우드 등 신기술 적용과 공공데이터 활용 활성화를 위해 획일적인 망분리 정책에 메스를 들었다. 국정원 주도로 태스크포스(TF)를 꾸리고 새로운 공공 보안 정책인 국가망보안체계를 마련해왔다.

국가망보안체계는 정보시스템·데이터 중요도에 따라 기밀(Classified)·민감(Sensitive)·공개(Open) 등 세 등급을 나눠 보안을 차등 적용하는 게 핵심이다. 이를 통해 보안성과 데이터 공유 활성화를 동시에 충족하겠다는 취지다. 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'는 중요도에 따라 소관 업무정보를 대상으로 C·S로, 나머지 정보는 O로 분류하면 된다.

이번에 공개한 국가망보안체계 보안가이드라인은 본문과 함께 부록1(보안통제 항목 해설서), 부록2(정보서비스모델 해설서) 등 총 3권으로 구성됐다.

본문은 국가망보안체계의 개념, 기본원칙, 보안통제 항목 선택방법 등을 담았다. 특히 △준비 △C·S·O 등급분류 △위협식별 △보안대책 수립△적절성 평가·조정 순의 적용 절차별로 각급기관이 수행할 주요 활동과 산출물 정의 및 세부사항을 수록했다.

국정원은 각급기관에 보안 정책 자율성을 부여하는 동시에 보안성 강화 책임도 실었다.

부록1은 각급기관이 업무정보·정보시스템에 대한 적절한 보안대책을 선택해 구현·운영하도록 보안통제 항목과 구현 방법 등을 설명한다. 보안통제 항목은 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 6개 영역으로 구성됐다. 각급기관은 보안통제 항목에서 등급별 보안수준에 필요한 항목을 선택·적용하면 된다.

국정원은 부록2를 통해 공공부문 정보화 체계를 변화시킬 정보서비스 모델도 제시했다. 구체적으로 △인터넷 단말의 업무 효율성 제고 △업무환경에서 생성형 AI 활용 △외부 클라우드 활용 업무협업 체계 △업무 단말의 인터넷 이용 △공공데이터의 외부 AI 융합 △연구 목적 단말의 신기술 활용 △개발 환경 편의성 향상 △클라우드 기반 통합 문서체계 등이다.

국정원은 올해 상반기 국가망 보안체계를 각급기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회·과학기술정보통신부 등 관계부처와 협조해, 정보서비스 모델을 반영한 선도사업을 추진한다.

우선 △소규모 네트워크 △N²SF 적용이 용이한 사업 △올해 계획된 망분리 사업 등 즉시 추진 가능한 정보화 사업부터 신 보안체계를 적용할 방침이다.

중장기적으로 정보화전략계획(ISP) 수행 및 기획재정부 등 관계부처 검토가 필요한 대규모 시스템은 예산·재구축 소요기간 등 고려해 단계적으로 전환한다.

제도 존속 여부로 관심을 모았던 클라우드서비스보안인증(CSAP)은 유지된다. 과기정통부는 혼선 최소화 등을 위해 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정이다.

조재학 기자 2jh@etnews.com