국가 망 보안체계(N2SF) 보안 가이드라인 발표, 내용과 CSAP 인증 관련 이슈 정리

국내 보안 분야의 뜨거운 이슈 중 하나죠?

‘공공 망분리 완화 정책’이 드디어 베일을 벗었습니다!

얼마전 포스팅에서 2025년 새롭게 도입되는 공공ᆞ금융 분야의 망분리 완화 정책에 대해 다뤘는데요. 예상보다 빠르게 ‘국가 망 보안체계 보안 가이드라인’이 그 윤곽을 드러냈습니다.

 

MLS 다층보안체계, N2SF 국가망보안체계, 자율보안체계 정리: 공공ᆞ금융 제로 트러스트 보안

 

이미 알고 계시겠지만, 망분리 완화는 꽤 오랜 기간 논의돼 온 주제입니다. 관련 정책을 논의 중이며, 새로운 정책이 시행될 예정이라는 기사들, 이젠 익숙하실 텐데요. 이번엔 확실히 다릅니다. 공공 망분리 규제 완화 방안을 ‘국가 망 보안체계(N²SF, National Network Security Framework)’로 확정하면서 국정원에서 직접 가이드라인을 발표했으며, 올 하반기에 정책을 본격 시행할 계획이라고 밝혔습니다.

 

새롭게 발표된 국가 망 보안체계 가이드라인

 

국가 망 보안체계의 목적은 분명합니다. 망분리 규제를 완화해 AI와 클라우드 등 혁신 기술을 적극 활용하면서도, 세부적인 보안체계를 구성해 유연하면서도 철저한 보안 환경을 구축하려는 거죠. 자세한 내용은 아래 홈페이지에서 확인하실 수 있습니다!

 

국가 망 보안체계 보안 가이드라인(Draft) – 국가사이버보안센터

​

 

내용을 요약하자면, 3가지 파트로 구분할 수 있습니다.

 

1. 업무 중요도에 따른 등급 분류:

정부 전산망을 업무 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open)의 3가지 등급으로 분류합니다. 각 등급에 맞는 보안 통제 항목을 차등적으로 적용해 보안성과 데이터 공유를 동시에 충족합니다.

 

2. 보안 통제 항목의 6개 영역:

• 권한: 정보시스템 접속에 대한 최소 권한 부여 및 신원 검증
• 인증: 다중요소 인증(Multi-Factor Authentication) 및 외부 인증수단과의 연계를 통해 보안성과 편리성을 고려한 다양한 인증 방법 구현
• 분리 및 격리: 하드웨어·운영체제(OS)·소프트웨어 등을 활용한 '분리'와 프로세서 및 애플리케이션 접근 통제 등을 통한 '격리'를 통해 보안 수준에 따른 다양한 기술적 보안 대책 수단 제시
• 통제: 인가된 데이터 전송 방식 및 데이터 유형 등을 통해 정보 흐름을 통제하고, 기관 전산망 경계 구간에서의 접근 통제와 원격 접속 시 보안 통제를 통해 중요 정보 유출 차단
• 데이터: 암호 기술 적용 및 암호화 키 관리를 통해 데이터를 안전하게 저장 및 관리
• 정보자산: 모바일 단말·하드웨어 장치·정보시스템 구성 요소 등에 대한 보호 방안 마련

​

3. 적용 절차:

• 준비: 기관의 업무와 정보 자산을 파악하고, 적용 계획을 수립합니다.
• C·S·O 등급 분류: 데이터를 기밀/민감/공개로 나누고, 중요도별로 관리합니다.
• 위협 식별: 데이터와 시스템의 잠재적 보안 위협을 분석합니다.
• 보안 대책 수립: 맞춤형 보안 대책을 세워 위험을 최소화합니다.
• 적절성 평가: 모든 단계가 제대로 수행되었는지 검토하고, 보완합니다.

 

차등적인 보안을 강조하는 N2SF

 

현재 발표된 가이드라인은 초안 버전이며, 앞으로 더 상세한 내용을 담아 보완될 예정입니다. 아직은 구체적인 실행 방안보다는 새로운 국가 망 보안체계의 개념, 목적, 구조를 담은 가이드라인이죠.

​

그런데, 기존에 존재하는 CSAP (Cloud Security Assurance Program) 인증 관련 이슈가 있습니다. CSAP 인증은 과기정통부에서 운영하는 클라우드 서비스 보안 인증 제도로, 클라우드 서비스 제공 업체, 일명CSP들이 공공기관에 서비스를 제공하기 위해서 반드시 받아야 하는 인증인데요. 국가 망 보안체계 가이드라인과 CSAP 인증이 중복되거나, 한쪽으로 흡수되지 않을까라는 우려가 제기되고 있습니다.

​

‘이제 공공기관에서도 다양한 클라우드를 도입해 사용하게 될 텐데, CSAP 인증은 사라지는게 아닌가? 가이드라인도 따르면서 인증도 따로 획득해야 하는 건가?’라는 의견이죠.

 

CSAP 제도 소개 – 한국인터넷진흥원

 

이 논란에 국정원은 CSAP와 국가 망 보안체계 가이드라인의 대상과 목적이 명백히 다르다고 말하고 있습니다. 과기정통부에서도 국정원의 보안 기준을 참고해 CSAP 인증 항목을 개정할 예정이라고 설명했죠. 또 국가 망 보안체계와 CSAP가 이중 심사가 되지 않도록 기준을 명확히 운영할 계획이라고 밝혔습니다. 시간이 지나고, 정책이 안정화되면서 2가지 제도의 역할과 분야가 더 분명해질 것으로 보입니다.

 

국가 망 보안체계와 CSAP 인증 논란

 

분명한 것은, 이번 제도의 시행으로 공공 분야의 클라우드 도입이 활발해질 것이라는 점입니다. 클라우드 사용이 당연시되는 일반 기업들의 환경처럼, 공공기관에서도 다양하고 편리한 클라우드를 사용하게 되겠죠.

물론, 그 대가를 감당해야 합니다. 공격 표면이 늘어나고 정보 유출의 위험성이 높아진다는 불편한 진실을 마주하게 되는데요. 망분리 완화 정책의 발표까지 이렇게 오랜 시간을 소요한 이유이기도 합니다. 철저했던 망분리 환경을 벗어나는 만큼, 이제는 가이드라인을 준수하면서 정보 유출 위협에 대응할 수 있는 자율적인 보안 환경 구축이 필요한 상황입니다.

 

자율적인 보안 환경 구축이 필요한 공공기관

 

앞으로의 공공 보안 환경에서 꼭 필요한 개념이 바로 DSPM (Data Security Posture Management, 데이터 보안 태세 관리)입니다. DSPM은 조직의 데이터 보안 상태를 평가하고, 유지하며, 개선하는 종합적인 솔루션인데요. 데이터가 언제 어디에 있고, 지금 어떤 보안 위협이 있는지 모니터링해서 보완하는 솔루션이라고 볼 수 있습니다.

​

DSPM은 비교적 멀티 클라우드 도입이 활성화된 해외 업무 환경에서 필수로 도입하는 솔루션 중 하나입니다. 데이터와 저장소의 보안 수준을 세분화하고, 어떤 저장소에 어떤 정보를 저장해 사용해야 하는지 명확히 구분해 관리하는 역할을 하는 거죠. 이번에 발표된 국가 망 보안체계에서 강조하는 보안 등급 분류, 차등적 보안 적용과 부합합니다.

 

파수 데이터 보안 태세 관리 | Fasoo DSPM

 

미리 준비하고 있지 않았다면, 공공 보안 체계의 변화로 혼란을 겪고 계실 텐데요. 아직 늦지 않았습니다. 그러나 본격적인 도입이 시작되는 7월이 되기 전에 준비하지 않는다면 새로운 기술의 편의성도, 기관의 보안 수준 강화도 얻기 어려울 것으로 예상됩니다.

​

준비를 위해 검토해야하는 많은 사항이 있지만, 무엇보다 현재의 보안 상태를 파악하고 점검할 수 있는 조치를 준비하시길 추천 드립니다. 어떤 부분이 부족한지, 무엇을 해야하는지 파악하는 과정이 새로운 보안 환경 구축의 첫 걸음이 돼야 합니다.

 

새롭게 변화하는 망분리 완화 정책, 국가 망 보안체계와 그 대응책이 궁금하시다면, 언제든 파수를 찾아주세요! 현 상황에 가장 적합한 보안 대책을 제시해드릴 수 있습니다!

 

파수 문의하기 | Fasoo Contact Us