서 상현
링크 : https://www.ncsc.go.kr:4018/template/resources/file/nis_guide_lines_2023_1_31.pdf
최근 국가정보원은 기존 「국가 정보보안 기본지침」을 「국가 사이버보안 기본지침」으로 개정하였습니다. 이번 개정은 단순한 명칭 변경이 아니라, 공공기관의 보안 관리 체계를 기존의 망분리 중심 구조에서 정보 등급과 위험도 기반의 보안 체계로 전환하기 위한 변화라고 볼 수 있습니다.
기존 공공기관 보안 체계에서는 내부망과 인터넷망을 분리하는 방식이 핵심 기준으로 적용되어 왔습니다. 이 방식은 외부 위협이 내부 업무망으로 직접 유입되는 것을 차단하는 데 효과적인 구조였습니다. 그러나 클라우드, SaaS, 생성형 AI, 원격근무, 외부 협업 도구의 활용이 확대되면서 모든 업무를 동일한 망분리 기준으로 관리하는 방식에는 한계가 발생하고 있습니다.
이번 개정의 핵심은 “망분리 폐지”라기보다는 “망 보안 체계의 재설계”라고 보는 것이 적절합니다. 모든 정보를 동일한 수준으로 통제하는 것이 아니라, 정보의 중요도와 민감도에 따라 보안 수준을 다르게 적용하는 방향으로 전환된 것입니다.
개정 배경
과거에는 대부분의 업무가 기관 내부 시스템을 중심으로 이루어졌습니다. 따라서 내부망과 인터넷망을 분리하는 방식만으로도 일정 수준의 보안 효과를 기대할 수 있었습니다. 그러나 현재는 공공기관에서도 클라우드 기반 업무 시스템, 외부 협업 도구, 인공지능 서비스, 원격 접속 환경 등을 활용해야 하는 상황이 증가하고 있습니다.
이러한 환경에서는 단순히 내부망과 외부망을 분리하는 방식만으로는 업무 효율성과 보안 요구를 동시에 충족하기 어렵습니다. 특히 공개 가능한 정보와 기밀성이 높은 정보를 동일한 방식으로 통제할 경우, 보안은 유지될 수 있으나 업무 생산성은 크게 저하될 수 있습니다.
따라서 이번 개정은 변화한 디지털 업무 환경에 맞춰 보안 체계를 보다 유연하고 정교하게 운영하기 위한 조치라고 볼 수 있습니다.
어떤 부분들이 대표적으로 변경되었는지 알아보겠습니다.
1. 국가 망 보안체계(N2SF) 반영
이번 개정에서 가장 중요한 부분은 국가 망 보안체계, 즉 N2SF의 반영입니다.
N2SF는 기존처럼 내부망과 인터넷망을 단순히 구분하는 방식에서 벗어나, 업무정보의 중요도와 위험도에 따라 보안 통제 수준을 달리 적용하는 체계입니다. 다시 말해 “어느 망에서 처리하는가”보다 “어떤 정보를 처리하는가”가 더 중요한 기준이 된 것입니다.
업무정보는 일반적으로 기밀, 민감, 공개 등급으로 구분됩니다. 기밀 정보는 국가 안보, 주요 정책, 외교, 군사 등 외부 유출 시 심각한 영향을 줄 수 있는 정보입니다. 민감 정보는 외부 공개 시 문제가 될 수 있는 내부 자료, 개인정보, 정책 검토 자료 등이 해당될 수 있습니다. 공개 정보는 이미 공개되었거나 공개 가능한 자료를 의미합니다.
이처럼 정보의 등급을 먼저 분류하고, 해당 등급에 맞는 보안통제를 적용하는 것이 이번 개정의 핵심 방향입니다.
2. 일률적 망분리 기준의 완화
기존 지침에서는 내부망과 인터넷망을 분리하는 방식이 공공기관 보안의 기본 원칙으로 적용되었습니다. 그러나 개정 이후에는 모든 업무에 동일한 망분리 기준을 적용하기보다, 정보의 중요도와 보안 요구 수준에 따라 보다 유연한 보안 구조를 적용할 수 있게 되었습니다.
다만 이를 망분리의 전면 폐지로 이해해서는 안 됩니다. 중요 정보나 기밀 정보에 대해서는 여전히 강한 분리와 통제가 필요합니다. 반면 공개 정보나 위험도가 낮은 정보는 적절한 보안통제를 전제로 보다 유연한 환경에서 처리할 수 있게 된 것입니다.
즉, 기존에는 “망을 분리했는가”가 중요한 기준이었다면, 앞으로는 “정보를 적절히 분류했는가”, “해당 정보에 맞는 보안통제를 적용했는가”가 더 중요한 기준이 됩니다.
3. 클라우드와 AI 활용 기반 확대
기존 망분리 체계에서는 외부 클라우드 서비스나 생성형 AI 서비스를 업무에 적용하는 데 제약이 많았습니다. 보안상 우려도 있었지만, 제도적으로 명확한 활용 기준이 부족했던 부분도 있었습니다.
N2SF 기반의 보안 체계에서는 정보 등급과 보안통제 기준을 충족하는 경우, 클라우드나 외부 서비스 활용 가능성이 확대될 수 있습니다. 특히 공개 정보나 일부 민감 정보의 경우에는 적절한 접근통제, 인증, 로그 관리, 데이터 보호 조치를 전제로 외부 서비스와 연계할 수 있는 기반이 마련됩니다.
다만 이는 아무 서비스나 자유롭게 사용할 수 있다는 의미는 아닙니다. 어떤 정보가 외부 서비스에서 처리되는지, 해당 정보가 어디에 저장되는지, 접근 권한은 어떻게 통제되는지, 로그와 감사 체계는 어떻게 운영되는지 등을 명확히 관리해야 합니다.
4. 정보 분류와 보안통제의 중요성 증가
기존에는 망분리 여부가 주요 점검 기준이었다면, 앞으로는 각 기관이 보유한 정보가 어떤 등급에 해당하는지 명확히 구분해야 합니다. 정보 분류가 제대로 이루어지지 않으면, 그에 맞는 보안통제도 적용하기 어렵습니다.
또한 정보 등급에 따라 접근 권한, 인증 방식, 데이터 암호화, 로그 수집, 외부 연계 통제, 모니터링 체계 등을 다르게 설계해야 합니다. 이는 기존보다 더 정교한 보안 운영을 요구하는 변화입니다.
따라서 이번 개정은 보안 기준이 완화되었다기보다는, 보안 관리 방식이 보다 세분화되고 책임 중심으로 전환되었다고 보는 것이 적절합니다.
5. 공공사업 수행 업체에 미치는 영향
이번 지침은 국가 및 공공기관을 대상으로 하는 기준이지만, 공공사업을 수행하는 민간 업체에도 영향을 줄 수 있습니다. 공공기관 시스템을 구축하거나 운영하는 업체, 클라우드 서비스를 제공하는 업체, 보안 솔루션을 공급하는 업체, MSP 사업자, 개발 및 유지보수 업체 등은 개정된 보안 기준을 고려해야 합니다.
앞으로 공공사업에서는 단순히 시스템 기능을 설명하는 것만으로는 부족할 수 있습니다. 해당 시스템이 어떤 등급의 정보를 처리하는지, 어떤 보안통제를 제공하는지, 접근통제와 로그 관리는 어떻게 수행되는지, 클라우드나 외부 서비스 연계 시 데이터 보호 방안은 무엇인지 설명할 수 있어야 합니다.
즉, 공공사업 제안이나 운영 단계에서 보안 아키텍처와 정보 등급 기반 통제 방안의 중요성이 더욱 커질 것으로 예상됩니다.
이번 「국가 사이버보안 기본지침」 개정은 공공기관 보안 체계의 기준이 변화하고 있음을 보여주는 중요한 사례입니다.
기존에는 망을 분리하는 것이 보안의 핵심 기준이었다면, 앞으로는 정보를 분류하고 그 정보의 중요도에 맞는 보안통제를 적용하는 것이 핵심이 됩니다.
이는 보안이 약화된다는 의미가 아닙니다. 오히려 정보의 성격과 위험도에 따라 더 정교하게 보안을 설계해야 한다는 의미입니다.
공공기관과 관련 사업자는 이번 개정을 계기로 내부 정보 자산을 재정리하고, 시스템별 보안통제 수준을 점검할 필요가 있습니다. 특히 클라우드, AI, 외부 협업 도구를 활용하는 환경에서는 정보 등급 기반의 보안 설계가 더욱 중요해질 것입니다.
결국 이번 개정의 방향은 명확합니다. 단순히 망을 나누는 보안에서 벗어나, 데이터를 중심으로 분류하고 통제하는 보안 체계로 전환하는 것입니다.
이 글은 본인의 실제 경험과 학습을 기반으로 작성하였으며, AI는 참고용으로만 활용하였습니다.