SGA솔루션즈 “ N²SF 적용, 뼈대인 컨설팅 단계가 핵심”
Source: Byline Network
목차
- 공공 보안 패러다임 대전환, N²SF
- N²SF, 제로트러스트 아키텍처를 품었다
- “N²SF, 왜 해야 할까?” 가이드라인 주 집필진, 이철호 앤플러스랩 대표 인터뷰
- N²SF 실증사례 : SGA솔루션즈 “뼈대인 컨설팅 단계가 핵심” (이번호)
- N²SF 실증사례 : 지니언스 “단말 검증에서 시작되는 N²SF”
- N²SF 실증사례 : 모니터랩 “생성형 AI 쓰는 순간, 데이터는 통제 대상”
- N²SF 실증사례 : 프라이빗테크놀로지 “단계적 전환이 필요하다”
- N²SF 실증사례 : 엔키화이트햇 “계속 점검해야 완성되는 N²SF”
- N²SF가 나아갈 길 : 향후 과제
배경
국정원은 2025년 9월 ~ 12월에 국가망보안체계(N²SF, National Network Security Framework) 전환을 위한 실증사업을 진행했다. 실증은 3개 과제로 구성되었다.
| 과제 | 주관사 | 내용 |
|---|---|---|
| 1 | SGA솔루션즈 | 일부 공공기관 내부망에 N²SF 적용 모델 시험 (NAC·EDR 기반 단말 통제, 망연계, DRM, 침입방지 기능 통합) |
| 2 | 프라이빗테크놀로지 | 디지털플랫폼정부(DPG) 통합 플랫폼에서 기관 간 데이터 공유 환경에 N²SF 적용 모델 검증 |
| 3 | 투이컨설팅 | 범정부 초거대 AI 공통 기반에 N²SF 체계 적용, 안전성·신뢰성 확보 방안 시험 |
1과제에서 SGA솔루션즈는 컨설팅 → 구축 → 점검 전 과정을 담당했으며, 수요기관은 특허청, 국가과학기술연구회, 정보통신기획평가원, 국가보안기술연구소 4곳이었다.
‘운영 가능한 N²SF’를 시험한 실증, 컨설팅이 승부처
바이라인네트워크와 만난 김광훈 SGA솔루션즈 보안기술컨설팅 총괄 전무이사는 “실증은 N²SF의 기술 구현 여부를 넘어, 공공기관이 실제로 운영할 준비가 되어 있는지를 확인하는 과정”이라고 설명했다.
실증 흐름
- 컨설팅 단계 – 적용 시스템 범위 정의 → 정보 자산 식별 → C·S·O 등급 분류 → 위협 식별 및 통제 항목·구현 방안 도출
- 구축 단계 – 컨설팅 결과를 실제 환경에 구현, 기존 시스템·보안 솔루션 연동·조정
- 점검 단계 – 구축 결과가 목표 보안 수준을 충족하는지 검증 (통제 작동 여부, 취약점 점검·모의해킹 등)
김 전무가 강조한 컨설팅 단계는 “정보 등급 분류, 위협 식별, 통제 항목 설정이 이뤄지는 단계”이며, 이 단계가 제대로 이루어져야 이후 구축·운영이 의미를 가진다. 단순히 많은 통제를 구현하는 것이 아니라 **‘어떤 통제를 왜, 어디에, 어떤 순서로 적용할지’**를 명확히 해야 구축 단계에서 반복 조정을 최소화하고 운영을 안정화할 수 있다.
실증은 약 3개월간 진행됐으며, 짧은 기간에 여러 기관이 동시에 진행하면서 시간적 제약과 기관별 환경·목표 차이로 여러 차례 조정이 필요했다. 구현 자체보다 **‘운영 가능한 형태’**로 맞추는 것이 큰 과제로 떠올랐다.
“단품으로는 안 된다”…PDP·PEP 중심 ‘풀스택’으로 골격 세워야
김 전무는 N²SF 구현에 ‘풀스택’ 접근이 필수라고 강조한다.
- 단품 보안 솔루션만으로는 N²SF 전체를 완성하기 어렵다.
- 풀스택은 정책결정지점(PDP)·정책실행지점(PEP) 등 핵심 요소를 중심으로 보안 체계의 기본 골격을 만든 뒤, 기관별 환경에 맞게 다양한 보안 솔루션을 재조합·연동해 하나의 유기적 체계로 만든다.
제로 트러스트와의 관계
- N²SF는 **‘통제 항목의 집합으로 구성된 프레임워크’**이다.
- 제로 트러스트는 그 통제 항목을 실제로 구현·집행하는 **‘방법론’**이며, 가장 높은 수준의 통제 방법론으로 볼 수 있다.
- 풀스택 설계는 PDP·PEP를 축으로 하여 이기종 솔루션을 분절되지 않게 엮어 한 흐름으로 작동시키는 역할을 한다.
결과적으로, 기관마다 기존 솔루션과 업무가 다르기 때문에 **‘재조합’·‘연동’**이 핵심 작업이 된다.
데이터 등급 분류, “업무 자체를 다시 보는 일”
N²SF의 핵심 요소 중 하나는 데이터를 C(기밀)·S(민감)·O(공개) 등급으로 구분하고, 등급별 접근·활용을 통제하는 체계다.
- 실증에서는 전체 기관이 아닌 적용 범위 내에서 데이터 등급 분류를 수행했다.
- 김 전무는 “국정원이 제시한 N²SF 가이드라인 1.0과 공공 업무 분류 체계를 참고해 업무 단위별로 정보를 구분했다”고 설명한다.
- 이후 **생애주기(생성·이용·이동·저장·폐기)**를 기준으로 위협을 식별하고 통제 항목을 설정했다.
하지만 **‘등급별 정보 흐름 설계’**가 부족했다. 일부 기관은 솔루션 도입만으로 자동 분류가 이루어질 것으로 기대했지만, 실제 운영에서는 **‘등급별 정보가 어디로 이동·저장·폐기되는지’**에 대한 설계가 없으면 위험 기반 통제에 마찰이 발생한다. 이는 컨설팅 단계에서 ‘업무·자산·흐름 정의’를 명확히 하지 않으면 구축이 도입에 머무를 위험을 의미한다.
현장이 원한 건 “맞춤형 + AI·외부 서비스”
실증 과정에서 김 전무는 통제 항목 충족과 실제 운영 사이에 간극을 발견했다.
- 기관들은 가이드라인 그대로 적용하기보다 자체 환경·업무 방식에 맞춘 최적화를 원했다.
- 이를 위해 추가 개발·조정이 지속적으로 필요했으며, 특히 AI·SaaS 등 외부 서비스 활용에 대한 요구가 많았다.
업무 유연성 변화
- 기존 망분리 환경에서는 업무용 PC에서 외부 서비스·생성형 AI 활용이 거의 불가능했다.
- N²SF 적용으로 정보 등급·접근 통제를 전제로 외부 서비스와 AI를 안전하게 활용할 수 있는 구조가 열렸다.
- 현장은 “보안을 유지하면서도 업무 효율·자율성을 높일 수 있다”는 점에 긍정적인 반응을 보였다.
SGA솔루션즈는 실증에서 도출된 요구사항을 제품에 반영하며 기술 고도화를 진행 중이다. 김 전무는 “N²SF가 현장에 정착하려면 기술뿐 아니라 제도·운영 문화도 함께 바뀌어야 한다”고 강조한다.
글: 바이라인네트워크
기자: 곽중희 (god8889@byline.network)