N²SF 가이드라인 주 집필인이 본 공공 보안의 숙제
Source: Byline Network
망분리 vs N²SF: 포함 관계
“N²SF를 하면 망분리를 걷어내야 한다고 생각하는데, 그건 오해”
N²SF는 ‘위험 관리 철학’ 안에서 통제 수단을 조합하는 구조이며, 망분리는 그 안에서 가장 강력한 보안 통제 중 하나다. 국방·외교 등 절대 외부 노출이 허용되지 않는 영역에서는 망분리가 앞으로도 당연히 선택될 수밖에 없다.
공공 보안 체계의 변화를 0과 1의 세계가 끝났다는 비유로 설명한다. 과거에는 외부 인터넷망(1)과 업무망(0)처럼 이분법으로 설계했지만, 이제는 0.1·0.2·0.3 같은 ‘중간 구간’이 늘어났다. 외부 서비스와 연결되는 지점이 늘수록 보안 담당자는 단순히 통로 하나만 지키는 것이 아니라 중간 구간의 위험을 식별하고 통제를 조정해야 한다.
단계적 전환이 전제
현장에서 가장 큰 혼란은 전환 방식이다.
“이미 20년 전에 구축돼 지금도 잘 굴러가는 시스템을 당장 N²SF로 전환하는 건 현실적으로 어렵다.”
오래된 시스템은 설계도가 없거나, 당시 기술 기준으로만 설명돼 있어 데이터 흐름을 재식별하기 어렵다. 국정원도 기존 시스템을 일괄 강제 전환하라고 하지 않는다.
국정원이 N²SF를 내놓은 취지는 **“신규 구축부터 적용”**이다. 새로 만드는 시스템은 설계 단계부터 정보 흐름을 식별하고, 데이터 등급을 정하고, 그에 맞는 통제를 선택한다. 선택이 근거를 갖추면 망분리 역시 N²SF의 한 방식으로 선택될 수 있다. 중요한 것은 망분리를 했느냐가 아니라 등급 분류와 위험 식별을 거쳐 ‘왜 망분리인지’까지 설명 가능한 상태를 만드는 것이다.
설계 단계에서는 국정원의 보안성 검토를 통해 오류를 잡을 기회가 있고, 구축·운영 단계에서는 실태 평가로 지속 점검이 가능하다. 기관이 자율적으로 판단하되, 판단이 현실과 어긋나면 제도적으로 다시 검토할 수 있는 구조가 마련돼 있다.
N²SF를 도입해야 하는 이유
이철호 대표는 공공 보안의 변화를 직접 따라온 경력을 가지고 있다. 그는 아주대학교를 졸업하고 석사 과정을 마친 뒤 2004년부터 국가보안기술연구소에서 근무했으며, 약 21년간 공공 사이버보안 업무를 수행했다.
2022년 말, 정부의 ‘중소기업 파견’ 프로그램으로 엔키화이트햇에서 연구소장으로 일하면서 산업계의 현실을 체감했고, 국정원이 포스트 망분리 시대 국가망 보안체계로 제시한 ‘다중계층보안(MLS)’이 현재의 N²SF로 이어졌다고 설명한다. 그는 N²SF를 미국 NIST의 위험 관리 프레임워크(RMF) 개념과 연결 지으며, 위험 관리 기반의 프레임워크가 국내에도 필요했음을 강조한다.
금융권의 ‘자율 보안 체계’, 국방의 ‘국방 사이버보안 위험관리 제도(K‑RMF)’ 등도 이름만 다를 뿐 위험 관리라는 공통분모 위에 있다. 따라서 공공 보안 체계가 위험 관리 프레임워크 기준으로 재편되는 흐름을 받아들여야 공공도 발전할 수 있다는 것이 그의 주장이다.
앤플러스랩의 역할
N²SF 도입은 보안 담당자의 부담을 키우는 점도 있다. 과거엔 ‘다 막아놓고 통로 하나만 관리’하면 됐지만, 이제는 중간 구간을 포함해 지속적으로 위험을 식별·감사·대응해야 한다. 공공 조직은 인사 순환이 잦아 특정 개인이 장기간 전문성을 축적하기 어려운 구조다.
이에 **“보안 업무를 해본 적 없는 사람이 보안 담당자로 발령받을 때, 무엇부터 해야 할지 안내해주는 시장과 도구가 필요하다”**는 인식으로 앤플러스랩을 창업했다. 현재는 N²SF 대응을 구조화하는 컨설팅 솔루션을 개발 중이다.
솔루션 주요 기능
- AI 기반 자동 등급 분류 지원
- 설계 단계에서의 위협 모델링 (실제 위협 사례를 통해 위협을 찾는 작업)
- 위협이 과도하게 늘어날 때 우선순위 매기는 위험 평가 (예산 안에서 무엇에 먼저 투자할지 결정)
핵심은 개별 통제 솔루션을 직접 만들기보다, 기관이 N²SF를 운영할 때 판단과 선택을 가능하게 하는 도구와 방법론을 제공하는 것이다.
국내 보안업계의 숙제: 연동과 표준화
N²SF 가이드라인에는 특정 상황에서 예상되는 위협과 권장 통제가 제시된다. 이를 국산 솔루션으로 촘촘히 구현하려면 제품 간 연동이 필수다. 그러나 현재 표준화·API 공유가 충분하지 않아 통합이 막히고, 이 상태가 지속되면 외산 풀스택 솔루션이 시장을 장악할 위험이 있다.
또한 국내 보안 기업들은 대부분 특정 분야 단일 솔루션에 강점을 가지고 있다. 통합을 위해서는 이기종 제품을 붙이고 운영까지 이어주는 역량이 중요해진다.
앤플러스랩은 **“고객의 선택지가 늘어나는 시장”**을 목표로 한다. 기관이 보안업체 한 곳에 의존하는 대신, N²SF 통제 항목 별로 충족 가능한 솔루션 후보군을 나열하고 장단점을 비교해 예산에 맞춰 선택할 수 있도록 돕는 것이 목표다. 이를 위해 여러 보안 기업과 협력을 확대하고 있다.
현재 기관에서 가장 어려워하는 부분은 업무 정보 식별과 보안 등급 분류이다. 등급 분류를 제대로 해두면 이후 통제 항목 설계가 훨씬 매끄러워진다. 하지만 이미 쌓인 과거 데이터의 분류는 또 다른 과제로, 보안업계와 함께 해결해 나가야 한다.