국가정보원, ISEC 2024에서 ‘국가망 보안정책 개선 로드맵(안)’ 발표
업무 중요도에 따가 등급 분류되어 통제되는 다층보안체계 적용
2024년 국가정보보안지침, 2025년 다층보안체계 시행 및 고도화, 2026년 전환 가속화
[보안뉴스 김경애 기자] 16~17일 개최된 아시아 최대 규모 보안 콘퍼런스 ‘ISEC 2024’에서 국가망 보안정책 개선 로드맵(안)이 발표됐다. 국가정보원이 발표한 로드맵은 업무 중요도에 따라 등급이 분류되어 통제되는 다층보안체계가 핵심이다.
▲국정원이 ISEC 2024에서 발표한 국가망 보안정책 개선 로드맵 발표자료 일부[사진=보안뉴스]
이번 국가망 보안정책 개선 로드맵(안)의 개선목표는 첫째, 획일적인 망 분리 탈피, 다층보안체계 기반으로의 보안정책 패러다임 전환이다. 모든 데이터를 연계 및 융합하고, 민간의 혁신기술을 활용하겠다는 방침이다.
둘째, 제약없는 정보 유통을 통한 신기술 융합 강화 및 스마트 업무환경 조성이다. AI, 클라우드 등의 연계를 보장하고, 장소와 시간 등 제약없는 업무수행이 가능하도록 함으로써 업무의 효율성을 높이겠다는 것이다.
셋째, 산·학·연·관 전문가와 함께 실효적인 정책 개발을 진행하고 기관에 자율보안 개념을 접목하는 것이 핵심이다. 이를 위해 해외 및 국내 정책을 비교 분석하고, 기관이 보안통제를 선택 적용하도록 할 방침이다.
넷째, 해당 정책은 신속하게 추진하되, 점진적인 제도 변화로 안정적인 정책을 펼치겠다는 방침이다. 이를 위해 디지털플랫폼정부위원회가 주관하는 시범사업을 추진하고, 평가검증 등의 제도는 점진적으로 추진할 계획이다.
마지막으로 다양한 산업부문의 경제 창출과 시장 변화를 반영할 방침이다. 제로트러스트(ZT) 등 보안기술을 적용해 수요를 증가시키고, AI 및 클라우드, 데이터 산업 등을 통해 시장을 확대할 계획이다.
이러한 개선 목표에는 다층보안체계가 기반이 된다. 다층보안체계는 업무 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 등급으로 정보를 분류하고, 등급별로 차등적으로 보안통제를 적용함으로써 보안성을 확보하면서도 원활한 데이터 공유를 동시에 달성하겠다는 것이다.
이와 관련 국가정보원 관계자는 “다층보안체계로 개선해 정부 전산망에서 그 중요도에 따라 업무를 구분해 기밀은 보안 통제(차등 적용)를 적용해 엄격하게 통제하고, 민감정보는 제한 접근하도록 하며, 공개정보는 활용 목적으로 우선 공개된다”고 밝혔다.
다층보안체계 적용 절차의 준비단계에서는 다층보안체계 적용을 위한 정보서비스 현황 파악 및 분석이 선행된다. 이어 C/S/O 등급분류에서는 업무 중요도에 따라 정보시스템 대상을 등급에 따라 분류한다. 다음으로 정보서비스 모델링 단계에서는 정보서비스 구성 환경에 대한 모델링 및 모델링 평가를 수행한다. 다음 단계인 보안대책 수립에서는 모델링 평가 결과를 토대로 보안원칙에 따라 보안통제 대상을 선정한다. 마지막으로 적절성 평가·조정 단계에서는 등급 분류, 보안통제 적절성 평가 및 재조정 과정을 거친다.
이를 통해 정부는 △인터넷 단말의 업무 효율성 제고 △업무환경에서 생성형 AI 활용 △업무 단말의 인터넷 이용 △공공 데이터와 AI 서비스와의 융합 △연구 목적 단말의 신기술 활용 △개발 환경 편의성 향상 △클라우드 기반 통합문서 체계 수립 등을 효율성과 안전성을 높여 나가겠다는 방침이다.
이를 바탕으로 정부는 △2024년 국가정보보안지침 △2025년 다층보안체계 시행 및 고도화 △2026년 전환 가속화 등의 로드맵을 추진한다는 계획이다.
이와 관련 국정원 관계자는 “2025년 상반기까지는 다층보안체계 지침 공표, 다층보안체계기반 클라우드 보안요건, 국가·공공기관 시범 적용, 보안통제 검증 보완(국정원), 공청회 등을 통한 의견 수렴, 다층보안체계 기반 보안 기술-제도-관리 등 전주기 거버넌스 정립, 전기관 다층보안체계 설명회를 진행할 예정”이라고 밝혔다.
2026년까지는 △보안 가이드라인 개발 지속 △개편안 보완 및 시행 △국가사이버안보 프레임워크 공표 △다층보안체계 업무정보 식별-등급 분류 △보안통제 고도화 △다층보안체계 보안 요소 기술 및 AI와 클라우드 연계 보안기술 개발을 추진하고, 이와 관련해 △비정형 데이터 중요도 분류 △민감 데이터의 AI 통제, △보안제품 연계 기술 개발 △사이버보안 실태평가 지표 개발 및 시범 운영을 추진할 계획이다.
한편, 국제표준암호 AES 사용도 2026년 1월부터 본격 허용된다. 이와 관련 국정원 관계자는 “AES 탑재 암호모듈 대상으로 KCMVP 신청을 접수받고, KCMVP 획득 후 AES를 제품에 탑재하면 주요 공공기관에 납품할 수 있다”고 설명했다. 이와 함께 양자 대전환 시대가 다가오면서 2035년에는 범국가 양자내성 암호체계를 완비할 것이라고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
업무 중요도에 따가 등급 분류되어 통제되는 다층보안체계 적용
2024년 국가정보보안지침, 2025년 다층보안체계 시행 및 고도화, 2026년 전환 가속화
[보안뉴스 김경애 기자] 16~17일 개최된 아시아 최대 규모 보안 콘퍼런스 ‘ISEC 2024’에서 국가망 보안정책 개선 로드맵(안)이 발표됐다. 국가정보원이 발표한 로드맵은 업무 중요도에 따라 등급이 분류되어 통제되는 다층보안체계가 핵심이다.
▲국정원이 ISEC 2024에서 발표한 국가망 보안정책 개선 로드맵 발표자료 일부[사진=보안뉴스]
이번 국가망 보안정책 개선 로드맵(안)의 개선목표는 첫째, 획일적인 망 분리 탈피, 다층보안체계 기반으로의 보안정책 패러다임 전환이다. 모든 데이터를 연계 및 융합하고, 민간의 혁신기술을 활용하겠다는 방침이다.
둘째, 제약없는 정보 유통을 통한 신기술 융합 강화 및 스마트 업무환경 조성이다. AI, 클라우드 등의 연계를 보장하고, 장소와 시간 등 제약없는 업무수행이 가능하도록 함으로써 업무의 효율성을 높이겠다는 것이다.
셋째, 산·학·연·관 전문가와 함께 실효적인 정책 개발을 진행하고 기관에 자율보안 개념을 접목하는 것이 핵심이다. 이를 위해 해외 및 국내 정책을 비교 분석하고, 기관이 보안통제를 선택 적용하도록 할 방침이다.
넷째, 해당 정책은 신속하게 추진하되, 점진적인 제도 변화로 안정적인 정책을 펼치겠다는 방침이다. 이를 위해 디지털플랫폼정부위원회가 주관하는 시범사업을 추진하고, 평가검증 등의 제도는 점진적으로 추진할 계획이다.
마지막으로 다양한 산업부문의 경제 창출과 시장 변화를 반영할 방침이다. 제로트러스트(ZT) 등 보안기술을 적용해 수요를 증가시키고, AI 및 클라우드, 데이터 산업 등을 통해 시장을 확대할 계획이다.
이러한 개선 목표에는 다층보안체계가 기반이 된다. 다층보안체계는 업무 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 등급으로 정보를 분류하고, 등급별로 차등적으로 보안통제를 적용함으로써 보안성을 확보하면서도 원활한 데이터 공유를 동시에 달성하겠다는 것이다.
이와 관련 국가정보원 관계자는 “다층보안체계로 개선해 정부 전산망에서 그 중요도에 따라 업무를 구분해 기밀은 보안 통제(차등 적용)를 적용해 엄격하게 통제하고, 민감정보는 제한 접근하도록 하며, 공개정보는 활용 목적으로 우선 공개된다”고 밝혔다.
다층보안체계 적용 절차의 준비단계에서는 다층보안체계 적용을 위한 정보서비스 현황 파악 및 분석이 선행된다. 이어 C/S/O 등급분류에서는 업무 중요도에 따라 정보시스템 대상을 등급에 따라 분류한다. 다음으로 정보서비스 모델링 단계에서는 정보서비스 구성 환경에 대한 모델링 및 모델링 평가를 수행한다. 다음 단계인 보안대책 수립에서는 모델링 평가 결과를 토대로 보안원칙에 따라 보안통제 대상을 선정한다. 마지막으로 적절성 평가·조정 단계에서는 등급 분류, 보안통제 적절성 평가 및 재조정 과정을 거친다.
이를 통해 정부는 △인터넷 단말의 업무 효율성 제고 △업무환경에서 생성형 AI 활용 △업무 단말의 인터넷 이용 △공공 데이터와 AI 서비스와의 융합 △연구 목적 단말의 신기술 활용 △개발 환경 편의성 향상 △클라우드 기반 통합문서 체계 수립 등을 효율성과 안전성을 높여 나가겠다는 방침이다.
이를 바탕으로 정부는 △2024년 국가정보보안지침 △2025년 다층보안체계 시행 및 고도화 △2026년 전환 가속화 등의 로드맵을 추진한다는 계획이다.
이와 관련 국정원 관계자는 “2025년 상반기까지는 다층보안체계 지침 공표, 다층보안체계기반 클라우드 보안요건, 국가·공공기관 시범 적용, 보안통제 검증 보완(국정원), 공청회 등을 통한 의견 수렴, 다층보안체계 기반 보안 기술-제도-관리 등 전주기 거버넌스 정립, 전기관 다층보안체계 설명회를 진행할 예정”이라고 밝혔다.
2026년까지는 △보안 가이드라인 개발 지속 △개편안 보완 및 시행 △국가사이버안보 프레임워크 공표 △다층보안체계 업무정보 식별-등급 분류 △보안통제 고도화 △다층보안체계 보안 요소 기술 및 AI와 클라우드 연계 보안기술 개발을 추진하고, 이와 관련해 △비정형 데이터 중요도 분류 △민감 데이터의 AI 통제, △보안제품 연계 기술 개발 △사이버보안 실태평가 지표 개발 및 시범 운영을 추진할 계획이다.
한편, 국제표준암호 AES 사용도 2026년 1월부터 본격 허용된다. 이와 관련 국정원 관계자는 “AES 탑재 암호모듈 대상으로 KCMVP 신청을 접수받고, KCMVP 획득 후 AES를 제품에 탑재하면 주요 공공기관에 납품할 수 있다”고 설명했다. 이와 함께 양자 대전환 시대가 다가오면서 2035년에는 범국가 양자내성 암호체계를 완비할 것이라고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
