디지털 전환이 가속화되면서 AI, 클라우드 등의 스마트 기술은 업무의 필수 요소로 자리 잡았습니다. 이처럼 산업 전반에 변화의 바람이 불었지만, 공공기관의 경우 보안상의 이유로 ChatGPT 같은 생성형 AI나 클라우드 협업 툴을 충분히 활용하지 못하는 상황이었는데요. 최근 산업 전반의 변화에 발맞춰 보안과 데이터 활용성을 모두 충족하기 위해, 약 18년 만에 새로운 보안 체계가 도입되었습니다.

그 정체는 바로, 국가정보원이 제안하는 새로운 보안 프레임워크, 국가 망 보안체계 (N²SF)입니다. 올해 1월 가이드라인(Draft)이 공개된 데 이어, 이달 가이드라인 정식 버전 1.0이 마침내 공표되었는데요. 오늘은 새로운 보안 패러다임인 국가 망 보안체계의 개념부터 등장 배경, 그리고 국가 망 보안체계가 가져올 변화를 함께 살펴보겠습니다.

‍

■ 국가 망 보안체계(N²SF)란?

출처: Freepik

N²SF(National Network Security Framework)는 공공데이터의 안전한 활용과 효율적인 업무 환경을 동시에 달성하기 위해, 국가정보원이 개발한 국가 망 보안체계입니다. 기존의 획일적인 망 분리 정책을 보완해, 공공기관의 업무망을 중요도에 따라 구분해 차등적으로 보안을 적용하는 정부의 새로운 보안 정책이죠.

올해 1월 Draft 버전으로 발표된 이후, 정식 버전 공개를 위해 의견수렴과 실증을 이어 왔습니다. 기관과 솔루션 제품을 개발하는 민간 기업의 의견을 지속적으로 반영해서 가이드라인과 통제항목, 정보서비스모델 해설서를 개선해 온 것입니다. 그리고 9월 9일 글로벌 사이버안보 행사, 사이버 서밋 코리아(Cyber Summit Korea, CSK 2025)에서 국가 사이버안보 정책을 발표했고, 이 일환으로 N²SF 가이드라인 정식 버전 1.0을 공개했습니다.

공개된 정식 가이드라인에 따르면, 전산망은 크게 기밀(C·Classified), 민감(S·Sensitive), 공개(O·Open) 등 세 가지 등급으로 분류되며, 업무 중요도에 따라 서로 다른 보안 체계를 적용합니다.

‍

✔ 기밀정보(Classified, C): 국가 안보·국방·외교·수사 등과 관련된 비밀 정보, 국민 생활·생명·안전과 직결되는 정보

✔ 민감정보(Sensitive, S): 개인·국가 이익에 피해를 줄 수 있는 정보, 비공개 대상 정보(로그, 임시 백업 등 포함)

✔ 공개정보(Open, O): C와 S를 제외한 모든 정보, 법적 요건을 충족하거나 비공개 필요성이 사라진 정보

‍

아울러, NSA 등 글로벌 스탠다드를 반영해 CDS(크로스 도메인 솔루션)*에 대한 개념이 새로 추가되었으며 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 크게 6개 영역으로 구분되는 보안 통제 항목에 대한 세부 항목들도 기존 170여개에서 260여개로 확대되었습니다.  그렇다면 안전과 효율을 고려해 공표된 신규 보안 정책, 국가 망 보안체계는 왜 등장하게 되었을까요? 그 배경에 대해 조금 더 자세히 알아보겠습니다.

_{*CDS: 보안 수준이 서로 다른 도메인 간에 민감한 정보와 데이터를 안전하게 전송·제어하는 기술. 망분리 환경에서 사용하는 망연계 시스템과 유사하지만, 한층 더 세밀하고 정교한 보안 정책을 적용할 수 있음}

‍

■ 국가 망 보안체계(N²SF)의 등장 배경

출처: Freepik

과거 2007년부터 시행된 기존의 망분리 정책은 외부 해킹 시도로부터 공공 시스템을 보호하는 데 큰 효과를 거두었습니다. 인터넷망과 업무망을 물리적으로 분리해 외부에서 내부 시스템에 접근하는 것을 원천적으로 차단했기 때문입니다. 하지만 시간이 흐르면서 한계점들이 드러났습니다.

‍

1) AI 툴 도입 제약

민간 기업에서는 ChatGPT 같은 생성형 AI를 활용해 문서 작성, 보고서 요약, 데이터 분석 등을 빠르게 처리하고 있지만, 공공기관은 보안 규제로 인해 인터넷망과 분리된 국가망(행정망)을 사용해야 했기 때문에, AI 서비스를 직접적으로 이용하기 어려웠습니다. 이로 인해 직원들이 보고서를 작성하거나 대규모 데이터를 분석할 때 여전히 직접 작업하거나 자체 시스템에 의존해야 하는 상황이 많았는데요. 결과적으로 업무 효율이 크게 향상되지 않았고, 민간과의 디지털 격차가 점점 더 벌어지는 문제가 발생했습니다.

‍

2) 협업 환경의 한계

민간 기업에서는 Google Workspace, Microsoft 365 같은 클라우드 협업 툴을 자유롭게 활용하고 있습니다. 반면 공공기관에서는 국가망(행정망)을 사용하다 보니, 민간 기업에서 사용하는 외부 클라우드 협업 툴을 활용하기 어려웠습니다. 그 결과, 민간 기업과 협업할 때 파일 전달이나 화상회의에 제약이 생겨 프로젝트 진행이 더뎌지거나 신속한 대응이 어려운 경우가 많았습니다.

‍

3) 데이터 활용의 어려움

많은 데이터를 보유하고 있지만, 이를 신사업 등에 활용하는 데 많은 제약이 따랐습니다. 대규모 데이터를 활용해 AI 모델을 학습시키거나, 민간 클라우드 기반 분석 플랫폼과 연동하는 것이 제한되면서 데이터 활용이 부분적으로만 이뤄지는 한계가 있었던 것이죠.

이와 같은 한계점들을 극복하고, AI와 같은 신기술부터 공공데이터까지 원활하게 활용할 수 있도록 하는 ‘새로운 보안 정책’의 필요성이 지속적으로 대두되었습니다.

‍

■ 국가 망 보안체계(N²SF) 도입, 어떤 변화가 있을까?

출처: Freepik

이처럼 이전의 한계를 극복하기 위해 등장한 차세대 보안 생태계 ‘국가 망 보안체계’가 적용된다면 어떤 긍정적 변화들이 있을까요?

‍

1) 클라우드 보안 정책 완화

앞으로 국정원은 공공용 민간 클라우드의 보안 기준을 완화해 AI 등 신기술과 공공데이터 활용을 지원합니다. 등급별 차등 기준을 적용하고, 민감 정보 공동 활용 클라우드를 도입해 공공과 민간이 안전하게 데이터를 활용할 수 있도록 할 계획입니다.

‍

2) 플러그인 보안 SW 설치 불필요

정부 웹사이트 이용 시 별도의 플러그인 보안 소프트웨어 설치 없이 공동인증서를 활용할 수 있게 될 예정입니다. 클라우드 인증서, 브라우저 인증서, 자바스크립트 모듈 등을 활용해 보안성과 편의성을 동시에 높인다는 목표로, 향후 공공 부문으로 시범 적용 후 민간까지 점진적으로 확산할 계획입니다.

‍

3) IT 기술 활용 확대

SECaaS(클라우드 기반 보안 서비스) 확산을 위한 보안 요건도 마련되었는데요. 이를 통해 공공기관에서도 지능형 위협 탐지, 사용자·권한 관리(IAM), 원격 브라우저 격리(RBI) 등 다양한 클라우드 보안 서비스를 도입할 수 있게 되었습니다. 아울러 비인가 WiFi 사용 금지 규제 완화, 재난·안전 현장에서 스마트폰으로 O등급 데이터를 처리할 수 있는 보안 요건 완화 등도 추진될 예정입니다.

‍

■ 국가 망 보안체계에 적합한 SK쉴더스의 보안 솔루션

출처: Freepik

국가 망 보안체계(N²SF)는 업무 정보와 정보시스템을 등급별로 분류하고, 위협 분석을 통해 보호 대책을 수립합니다. 국가 망 보안체계의 보안통제는 미국 NIST RMF의 오버레이(Overlay) 개념을 적용할 수 있어, 국내 표준을 준수한 보안 아키텍처는 제로 트러스트 요구사항과도 연계될 수 있습니다.

국내 보안을 책임지는 SK쉴더스는 제로 트러스트 연합(ZETIA, Zero Trust Enterprise Trust Innovation Alliance)을 주도하며, 안전한 보안 생태계 확산에 앞장서고 있습니다. SK쉴더스의 보안 솔루션을 활용하면 단순히 최신 보안 기준을 충족하는 것을 넘어, 실제 운영 환경에서도 안정적이고 견고한 망 보호 체계를 구축할 수 있는데요. 이를 통해 새로운 보안 요구사항을 효과적으로 대응하며 정보 자산을 안전하게 보호할 수 있습니다.

급변하는 디지털 환경에 맞춰 새로운 혁신을 목표로 하는 ‘국가 망 보안체계’를 이해하고, 이에 적합한 SK쉴더스의 보안 솔루션과 함께 확실한 보안 환경을 구축해 보세요!

‍