프라이빗테크놀로지 “현실에 맞는 단계적 적용 필요”

Source: Byline Network

[N²SF 전환⑦] DPG 통합플랫폼 실증 주관…통제 항목 ‘전부 구현’은 예산·연동·운영 부담 키워

목차

1. 공공 보안 패러다임 대전환, N²SF
2. N²SF, 제로트러스트 아키텍처 품었다
3. N²SF 가이드라인 주 집필인이 본 공공 보안의 숙제 – 이철호 엔플러스랩 대표 인터뷰
4. N²SF 실증사례 : SGA솔루션즈 “뼈대인 컨설팅 단계가 핵심”
5. N²SF 실증사례 : 지니언스 “단말 검증에서 시작되는 N²SF”
6. N²SF 실증사례 : 모니터랩 “생성형 AI 쓰는 순간, 데이터는 통제 대상”
7. N²SF 실증사례 : 프라이빗테크놀로지 “단계적 전환이 필요하다”(이번호)
8. N²SF 실증사례 : 엔키화이트햇 “계속 점검해야 완성되는 N²SF”
9. N²SF가 나아갈 길 : 향후 과제

지난해 국가정보원 주도로 진행된 국가망보안체계(N²SF) 실증에서 프라이빗테크놀로지는 ‘디지털플랫폼정부(DPG) 통합플랫폼’ 과제를 주관했다. 기관 간 데이터 연계·공유를 전제로, 업무 정보와 정보시스템을 식별하고 기밀(C)·민감(S)·공개(O) 등급으로 분류한 뒤 위협을 정리해 통제 항목과 정책을 세우고 적절성 평가까지 이어지는 절차를 현장에 맞게 적용하는 작업이다.

박승민 프라이빗테크놀로지 전략추진본부 부장은 “N²SF는 망분리 해제 자체가 목적이 아니다”라며 “전 기관·전 업무를 한 번에 바꾸기보다 특정 서비스부터 적용하는 단계적 전환이 현실적”이라고 말했다.

‘연계’보다 ‘데이터 이동 통제하는 설계’가 중요

프라이빗테크놀로지가 실증에서 맡은 역할은 단순히 보안 장비를 추가하는 것이 아니라, 기관 간 데이터가 오가는 구간을 N²SF 관점에서 재정의하는 것이었다. DPG 통합플랫폼은 여러 부처 데이터가 섞이는 특성상 연결 자체가 아니라 “데이터가 어디로 이동하고, 그 이동을 어떤 조건으로 허용·차단할지”가 핵심이다.

프라이빗테크놀로지는 연계 구간에서 통신 흐름을 식별·검증하고, 선 인증 방식으로 데이터 이동의 무결성을 확보하는 설계를 실증에 반영했다.

제품 측면에서도 재구성이 이루어졌다. 제로트러스트 보안 솔루션으로 시작했지만, N²SF 통제 항목에 맞춰 적용 가능한 기능을 확대하고 있다. 보안 통제 항목이 늘어날수록 운영 부담이 커지므로, 추가 보안 솔루션을 자동으로 연동할 수 있도록 API를 확대하고, ‘자동화’ 요구에 맞춰 단말 자동 통제 기능도 강화하고 있다.

‘수용 기준선’이 있어야 단계적 전환이 굴러간다

박 부장이 강조한 또 다른 키워드는 **임계치선(수용 기준선)**이다. N²SF 가이드라인의 보안 통제 항목은 촘촘하지만, 모든 항목을 한 번에 구현하려 하면 공공기관에 큰 부담이 된다. 그는 “통제 항목 1개를 지키기 위해 보안 솔루션이 1개 이상 필요할 수도 있다. 예산이 부족한 기관은 적용이 어렵다”고 설명한다.

따라서 **‘어디까지 하면 위험을 관리 가능한 수준으로 낮췄다고 볼지’**에 대한 기준선이 필요하다. 예를 들어 통제 항목이 270개라면 250개를 충족했을 때 남은 20개를 어떤 근거로 유예할 수 있는지 판단 기준이 있어야 적용이 확산된다. “무엇은 당장 어렵고 무엇은 다음 단계로 미룰 수 있는지”가 명확히 정리돼 있지 않으면 현장은 전환 압박을 받아 동력이 꺾일 수 있다.

분류·식별이 승부처…한 사이클 최소 4~6개월 잡아야

DPG 통합플랫폼 과제는 보안 장비를 단순히 붙이는 것보다 앞단 설계 작업 비중이 큰 실증이었다. 박 부장은 N²SF 적용 절차를 다음과 같이 설명한다.

1. 업무 정보와 정보시스템을 식별
2. 데이터 분류와 C·S·O 등급 부여
3. 위협을 식별하고 적용할 보안 통제 항목 선정
4. 보안 솔루션에 정책 설정
5. 적절성 평가 수행

“기관 전체를 한 번에 다 하려고 하면 장기전이 된다”며, ‘특정 서비스’를 기준으로 해당 서비스가 다루는 정보부터 정리하는 방식을 먼저 적용해야 한다고 강조한다.

또한 “N²SF는 아직 초기라 적절성 평가까지 최소 46개월 정도 걸린다”는 점을 언급한다. 업무 정보 식별이 깔끔하면 빠르지만, 그렇지 않은 경우 12개월씩 추가 소요될 수 있다. 따라서 한 번의 적용 사이클을 최소 4~6개월로 보고, 어떤 서비스·어떤 위험부터 시작할지를 컨설팅 단계에서 명확히 정리해야 원활한 적용이 가능하다.

남은 과제는 ‘제도·확산·연동’…실태 평가가 현실의 견인차

박 부장은 N²SF 전환 국면에서 ‘망분리’에 대한 오해도 짚었다. 그는 “망분리는 살아 있다고 봐야 한다. 망분리를 통해 해야 되는 영역도 있고, 보안 통제부터 우선 적용해야 하는 상황도 있다”며, “점진적으로 접근하고 향후 법률적으로 선언이 필요하다”고 말했다.

기관의 수용성도 과제다. 공공기관 보안 담당자는 순환 보직인 경우가 많아 N²SF 인지가 낮고, 설명하면 “어렵다”는 반응이 나온다. 따라서 **‘실태평가’**가 전환을 밀어붙이는 현실적 동력이 될 수 있다. 실태평가 점수가 기관 경영평가에 반영되면 “해야만 하는 상황”이 만들어진다.

전환이 단순히 부담만 늘리는 변화가 아니라는 점도 강조한다. 망분리 환경에서는 업무망에서 AI·클라우드 같은 민간 서비스를 사용하기 어려워 인터넷망으로 옮겨가는 비효율이 발생한다. N²SF를 적용하면 업무용 컴퓨터에서 필요한 서비스를 직접 사용할 수 있어 업무 효율이 상승하고 업무 시간이 단축될 수 있다.

글. 바이라인네트워크