공공 보안 패러다임 대전환, 국가망보안체계(N²SF)
Source: Byline Network
정부·공공 분야 업무 환경에서 보안성 확보를 이유로 인터넷과 업무망을 분리해 사용해온 ‘망분리’ 정책이 오랫동안 시행돼 왔습니다. 이같이 통제된 환경은 보안성은 높았으나 업무상 불편과 비효율성을 가중시켰고, 원격접속·클라우드·생성형 인공지능(AI) 등 신기술 등장으로 변화하는 환경에선 제약이 컸습니다.
이런 변화 속에서 정부는 대안으로 국가망보안체계(N²SF) 를 제시했습니다. N²SF는 망을 나누는 방식이 아니라 데이터의 중요도와 위험을 기준으로 보안 통제를 설계하는 접근입니다. 기관은 먼저 업무 데이터의 등급을 나누고, 데이터가 이동·처리되는 흐름에서 가능한 위협을 식별한 뒤, 등급과 위험에 맞는 보안 통제를 적용하고 점검합니다.
미국 위험관리 프레임워크 토대로 설계된 N²SF
N²SF는 미국 국립표준기술연구소(NIST)가 제시한 위험관리 프레임워크(RMF) 개념을 토대로 설계되었습니다. RMF는 조직이 보안 위험을 관리할 때 위험을 식별하고 통제를 선택·평가·운영하는 절차이며, 미국 연방정부 기관이 활용해 온 7단계 절차입니다.
국정원은 망분리 정책을 개선하는 과정에서 RMF의 위험 기반 원칙을 N²SF 절차에 반영했습니다. N²SF는 RMF를 공공기관 환경에 맞게 재구성해, 실무자가 따라갈 수 있는 단계와 산출물 중심으로 구체화했습니다.
자료=국정원, N²SF 가이드라인 1.0
현장에서는 N²SF를 “공공 영역에서 RMF 방식으로 넘어가기 위한 프레임워크”로 해석하기도 합니다. N²SF 가이드라인 주 집필진은 “N²SF가 확장되면 RMF로 가는 흐름”이라고 설명했습니다. 금융권은 규정 준수 확인 중심에서 벗어나 기관이 위험을 평가하고 통제를 선택하는 ‘자율 보안 프레임워크’ 흐름을 도입하고 있으며, 국방 분야는 별도의 위험관리 체계인 ‘국방 위험관리 프레임워크(K‑RMF)’ 논의를 이어가고 있습니다.
RMF 개념의 핵심은 **‘망을 어떻게 나눌 것인지’**보다 **‘업무와 데이터가 무엇이고, 어디로 이동하며, 그 과정에서 어떤 위협이 가능한가’**를 정리하는 데 있습니다. 그 결과에 따라 통제를 고르는 방식으로, 보안의 출발점을 네트워크 경계에서 업무·데이터 흐름과 위험으로 옮깁니다.
데이터 등급 분류로 시작하는 차등 통제…일률적 망분리에서 ‘설계형 보안’으로
전통적인 망분리 체계에서 보호의 기본 단위는 **‘망’**이었습니다. 업무망과 인터넷망을 나누고, 망 사이 이동을 제한해 네트워크 경계를 중심으로 데이터를 보호했지만, 데이터 민감도가 달라도 같은 망 안에 있으면 비슷한 규칙으로 관리되는 문제가 있었습니다.
N²SF는 보호 단위를 ‘망’보다 업무정보와 데이터 등급으로 먼저 잡습니다. 국정원이 2025년 9월 공개한 **‘N²SF 가이드라인 1.0’**은 핵심 요소로 **‘데이터 등급 분류’**와 **‘차등 통제’**를 제시합니다. 가이드라인은 업무정보와 시스템을 다음과 같이 3등급으로 분류하도록 합니다.
| 등급 | 의미 |
|---|---|
| C (Classified) | 안보·국방·외교·수사와 직결된 정보 등, 유출 시 국민 생명·재산에 큰 영향을 미치는 정보 |
| S (Sensitive) | 개인정보·행정 내부자료 등, 유출 피해가 우려되는 정보 |
| O (Open) | 외부 공개가 가능하거나 비공개 필요성이 사라진 정보 |
자료=국정원, N²SF 가이드라인 1.0
등급 분류는 기관의 임의 판단만으로 결정되지 않으며, 정보공개 관련 법령·보안업무규정 등을 근거로 합니다. 같은 업무망 안에 있어도 C와 O의 위험도가 다르다고 보고, 데이터 흐름과 위험을 기준으로 통제를 설계합니다. 필요하면 망분리도 통제 수단으로 선택할 수 있지만, 이는 등급 분류와 위협 분석 결과에 따라 채택되는 옵션입니다.
설계형 보안의 핵심 요소
N²SF는 **‘연결을 전제로 한 데이터 보호’**에 초점을 둡니다. 기관 간 협업이나 외부 서비스 연동이 불가피한 환경에서도, 어떤 데이터가 어떤 조건에서 이동할 수 있는지를 먼저 정의하고, 인증·권한·단말 보안 상태·암호화·반출입 승인 등으로 강제합니다.
가이드라인은 통제 항목을 권한, 인증, 분리·격리, 통제, 데이터, 정보자산 6대 항목으로 구분하고, 세부 통제 항목은 약 270여 개 수준으로 제시합니다. 기관은 데이터 등급과 위협 분석 결과에 따라 적절한 통제를 조합해 적용합니다.
데이터 생애주기 전반에 적용되는 통제
| 단계 | 적용되는 주요 통제 |
|---|---|
| 생성 | 등급 부여, 기준 설정 |
| 저장 | 권한 최소화, 감사 로그, 암호화·키 관리 |
| 사용 | 로그인·단말 보안 상태·세션 조건 검증, 열람·편집 권한 관리 |
| 전송 | 승인 절차, 암호화, 기록 관리 등 조건부 이동 |
| 백업·복구 | 원본 등급 계승, 사각지대 최소화 |
| 보관·파기 | 보유 기간 관리, 파기 기록 포함 |
자료=국정원, N²SF 가이드라인 1.0
보안업계에 따르면, N²SF 구축 현장에서 가장 많이 부딪히는 지점은 **‘어디까지 통제해야 하는가’**입니다. 등급과 위협, 근거에 따라 통제를 조합하는 역량이 요구되며, 기관은 업무 흐름, 데이터 이동 경로, 가능한 위협, 적절한 통제 등을 명확히 설명할 수 있어야 합니다. N²SF 전환은 기술 도입보다 먼저 판단 기준과 설계 역량을 요구하는 이유가 여기에 있습니다.