MLS 다층보안체계, N2SF 국가망보안체계, 자율보안체계 정리: 공공ᆞ금융 제로 트러스트 보안

다사다난했던 2024년이 마무리되고, 변화의 바람이 불어오는 2025년이 밝았습니다. 새해를 맞아 묵은 때를 벗기듯, 공공과 금융 분야에서도 드디어 숙원 사업을 처리하는 모양새입니다. 2025년에는 오랜 기간 준비해 온 보안 혁신을 만나볼 수 있을 전망입니다.

​

두 분야는 각각 2000년대, 2010년대부터 내부망과 외부망을 구분하는 ‘망분리’ 환경을 고수해왔습니다. 주요 업무가 이뤄지는 업무망(내부망)에서는 외부와의 연결을 철저하게 차단해 보안을 강화하는 방식입니다.

​

망분리 정책은 시간이 지남에 따라 AI, 클라우드, SaaS 등 새로운 기술 환경에 적응하기 어려운 한계를 드러내기 시작했습니다. 그 결과, 비효율성과 기술 발전의 저해로 이어지며, 수 년 전부터 새로운 보안 체계의 필요성이 꾸준히 제기돼 왔죠.

 

공공 및 금융 보안 체계가 새롭게 개편되는 2025년

 

2025년 현 시점에서, 다층보안체계(MLS), 국가망보안체계(N²SF), 자율보안체계라는 이름의 보안 모델들이 공공과 금융 분야에 도입되기 시작했습니다. 3가지 모델 모두 제로 트러스트 보안 원칙을 기반으로 하며, 보다 안전하고 유연한 보안 환경 구축을 목표로 합니다.

​

각 모델의 개념은 다음과 같습니다.

 

다층보안체계(MLS)

다층보안체계(MLS, Multi-Layer Security)는 데이터 및 시스템을 중요도에 따라 구분해 차등적으로 보호하는 방식​입니다. 기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open) 등급으로 분류해 그에 상응하는 보안 정책을 적용합니다. 2024년 1월부터 국정원은 공공 분야의 MLS 전환을 추진해왔습니다.

​

획일적인 망분리 환경을 탈피하고, 보호해야 할 정보를 명확히 구분해 특정 업무 영역에서 신기술을 사용하고 공공데이터를 활용할 수 있는 여건을 조성하자는 취지를 담고 있습니다.

 

2024년 다층보안체계(MLS, Multi-Layer Security)의 등장

 

국가망보안체계(N²SF)

국가망보안체계(N²SF, National Network Security Framework)는 MLS를 기반으로 국가정보원에서 최근 새롭게 명명한 보안 정책입니다. 기본적으로 세분화된 보안과 관리가 필요하다는 개념을 유지하고 있습니다.

​

국가 보안 체계를 MLS로 전환하는 자체에 목표를 두는 것이 아니라, 망분리를 하지 않고도 보안성을 확보하는 일에 중점을 두는 정책인데요. 정부가 선정한 정보서비스의 모델 또한 확장할 계획이며, 곧 가이드라인을 배포할 예정입니다. 2025년부터 시행될 계획이고, 망분리 사업이 예정된 공공기관에 설계 변경을 요청하는 등 정책 조기 안착을 위해 노력하고 있습니다.

 

국가망보안체계(N²SF, National Network Security Framework)로의 변화 ​

 

자율보안체계

자율보안체계는 금융 분야의 망분리 환경 개선을 위해 금융당국에서 제시하는 방안으로, 이름 그대로 금융 조직이 자율적으로 구축하고 운영하는 보안 체계를 의미합니다. 이미 금융 업계에서는 수년에 걸쳐 검토해 온 방안인데요. 금융 조직을 위협하는 리스크가 다양한 만큼, 각 조직에 보안을 최적화하자는 움직임입니다.

특히, AI와 클라우드 기반 서비스 등 금융 조직의 서비스 혁신을 가능하게 하는 기술을 수용하고, 견고하면서도 유연한 보안 체계를 자율적으로 운영할 수 있도록 하자는 취지를 담고 있는데요. 구성과 운영을 자율에 맡기되, 정기적인 검사와 책임 강화를 통해 사후관리를 철저히 하는 방향으로 정착될 예정입니다.

 

금융권의 망분리 환경 개선 방안 '자율보안체계'

 

정리하자면, 공공 분야에서는 MLS 기반의 국가망보안체계를, 금융 분야에서는 자율보안체계를 도입해 망분리 환경을 개선한다는 내용입니다. 공통적으로 ‘새로운 기술의 도입’과 ‘보안 강화’를 목표로 하고 있다는 점을 알 수 있습니다. 각 분야의 디지털 혁신에 망분리 환경이 걸림돌이 되고 있다는 지적에서 시작된 움직임이지만, 동시에 보안을 강화하려는 목표가 뚜렷합니다.

​

물론, 2가지 목표를 동시에 달성하기란 쉽지 않습니다. AI와 클라우드로 대표되는 새로운 기술을 적용한다면, 그만큼 리스크도 커지기 마련이죠. 따라서 공공ᆞ금융 모두에서 보안 세분화를 통한 제로 트러스트 실현에 주목하고 있습니다. 어디에 어떤 중요 정보가 존재하는지 명확하게 세분화해서 관리해야 한다는 의미입니다.

 

보안 세분화를 통한 제로 트러스트 실현

 

조금 더 구체적으로 말하자면, 어떤 데이터를 어디에 보관하고 있는지, 보관 상태가 어떤지 확인하고 발생할 수 있는 모든 위협에 대비해야 한다는 말인데요. 이는 상대적으로 제로 트러스트 보안이 먼저 도입된 해외에서 DSPM (데이터 보안 태세 관리) 체계를 필수로 구성하는 이유이기도 합니다.

​

급변하는 IT 환경에서 비즈니스를 진행하다 보면, 민감한 정보를 포함한 방대한 양의 데이터가 필연적으로 온 프레미스 및 클라우드, SaaS 등 다양한 저장소에 분산됩니다. 언제 어디서 보안 사고가 발생할지 모르기 때문에, 항상 보안 상태를 파악할 수 있어야 합니다. 보유한 데이터를 분류하고, 지속적으로 모니터링하며 추적할 수 있어야 비로소 위협에 대비할 수 있습니다. 어떤 접근도, 어떤 환경도 신뢰하지 않는다는 제로 트러스트 보안 원칙의 기본이 되는 개념이죠.

 

파수 데이터 보안 태세 관리 | Fasoo DSPM

 

오늘 포스팅에서 말씀드린 바와 같이 공공과 금융 조직의 보안 자율성이 확대되는 흐름이라면, 컴플라이언스 준수 여부를 중심으로 사후관리가 이뤄질 가능성도 높습니다. DSPM을 활용하면 현재 우리의 데이터의 보관 상태가 개인정보보호법, GDPR, CCPA 등을 준수하고 있는지 파악할 수 있습니다. 그 외에도 섀도우/다크 데이터 관리, 데이터 흐름 파악 등 조직의 데이터 보안을 강화할 수 있는 다양한 기능을 활용할 수 있습니다.

 

차세대 데이터 보안 태세 관리 Fasoo DSPM | Fasoo DSPM

 

조직 내 데이터 상태 현황을 한눈에 파악할 수 있는 Fasoo DSPM

​

앞으로는 분야를 막론하고 세분화된 제로 트러스트 보안 환경 구축과 자율적인 운영이 중요해질 전망입니다. 우리 조직이 어떤 새로운 기술을 활용할 수 있을지, 이를 위해 필요한 보안 체계가 무엇인지 고민하는 과정이 필요하겠죠. 다만, 어떤 선택을 하게 되더라도 현 상태를 파악하고 점검할 수 있는 조치는 반드시 준비가 돼야 합니다.

​

혹시 제로 트러스트 보안, DSPM에 대해 더 궁금하시거나 보안 체계 구축에 도움이 필요하시다면, 언제든지 파수가 함께하겠습니다!

 

파수 문의하기 | Fasoo Contact Us