.gif)
국가·공공기관 보안, ‘기능 충족’에서 ‘아키텍처 검증’으로 거버넌스 변화
공공 정보보호 생태계, 일회성 인증 넘어 ‘시큐어 바이 디자인’ 전환기 맞아
[보안뉴스 조재호 기자] 국가정보원은 9월 ‘국가망 보안체계(N2SF) 보안 가이드라인 1.0’을 공개하면서 국가·공공기관 보안의 구조적 변화를 예고했다. 핵심은 절차 중심의 ‘검증’에서 ‘아키텍처’ 중심의 지침 제공으로 전환한다는 점에 있다.
그간 공공 부문 보안 도입 문제를 규정해 온 ‘보안적합성검증’(SSV·Security Suitability Verification) 제도에 중대한 변화가 나타난 것이다. 이 과정에서 실제 이를 적용해 도입해야 할 현장에선 둘 사이의 개념 차이나 수행 방식 등을 놓고 혼란을 느끼는 것도 현실이다.
N2SF 도입과 함께 공공 부문 패러다임은 어떻게 변화하는 것일까?
지난 20여년 간 국정원 ‘보안적합성검증’(SSV·Security Suitability Verification)이 공공 영역에서 정보보호 시스템 도입을 위한 ‘최종 관문’ 역할을 도맡았다. 이 제도는 ‘경계 기반 보안’과 ‘신뢰할 수 있는 내부망’으로 구분된 망분리 환경에서 제품과 솔루션이 국가가 요구하는 최소한의 보안 기능을 갖췄는지 확인했다.
[자료: 생성형 AI 활용]
그러나 클라우드 전환과 인공지능(AI) 도입, 코로나19로 인한 근무 환경 변화는 망분리 시대의 끝을 알리고 있다. 망분리는 내부 업무망과 외부 인터넷망을 분리한 것을 말한다. 망을 분리해 외부 공격을 막고 내부 유출을 방지하자는 의미로 시작됐지만, 이러한 환경을 노린 공격이나 임직원 실수로 공격에 노출될 가능성이 있다.
또 내부망 침투에 성공하면 ‘횡적 이동’(Lateral Movement)을 통해 대규모 침해 사고를 일으켰다. 최근 APT나 랜섬웨어 공격으로 인한 사건·사고가 연이어 발생한 이유와도 무관치 않다.
이에 국정원은 SSV라는 ‘절차’를 수정하는 대신, 국가망 전반의 거버넌스를 바꾸는 근본적 해법을 제시했다. ‘국가망 보안체계’(N2SF·National Network Security Framework)다.
N2SF는 공공이 보유한 정보를 중요도에 따라 기밀(C), 민감(S), 공개(O) 등급으로 나눠 각각의 보안 통제 방식을 차등 적용함으로써 보안성과 데이터 활용성을 극대화하는 제도다. 기존 획일적 망분리에서 벗어나, 공공의 클라우드·AI 도입을 위해 업무 정보와 시스템에 대한 통제 항목을 6개 영역, 280여 세부 항목으로 구성했다.
N2SF는 SSV와 같은 특정 ‘검증’ 절차가 아니다. 제로트러스트에 기반한 ‘보안 아키텍처’로 정보보호 시스템 구성 방식을 재구성할 새로운 거버넌스다. 다만, 기존 SSV 절차의 존재 이유와 역할과 혼동을 일으켜 현장의 오해를 부르고 있는 부분도 있다.
절차와 거버넌스: SSV와 N2SF의 역할 정립
N2SF 가이드라인 제시에 앞서 올해 초 N2SF 초안이 공개됐을 때, 보안 업계와 공공 분야 담당자들이 겪은 혼란 중 하나는 N2SF가 SSV를 대체할 새로운 제도인지 혹은 별도 인증이 필요한지 여부였다.
결론부터 말하자면 ‘대체제’는 아니다. ‘보완재’이자 ‘기준의 고도화’로 봐야 한다. SSV가 특정 제품이나 서비스 등을 국가기관에 어떻게 도입해야 하는가를 묻는 행정적 절차라면, N2SF는 시스템과 네트워크를 ‘어떻게 설계하고 구성해야 하는가?’를 정의하는 기술적 설계 표준이자 아키텍처 혹은 거버넌스다.
SSV가 하나의 제품이나 서비스에 초점을 맞춘 개별적 단위 검증이라면, N2SF는 이들을 유기적으로 연결한 시스템 혹은 아키텍처라는 구성을 확인하는 새로운 기준을 제시한 것이다.
공통점과 차이점: 보안을 목표로 한 ‘접근 방식’
N2SF와 SSV는 ‘국가 사이버 안보 강화’라는 공통 목표를 제시한다. 하지만 목표에 도달하는 방식에선 차이를 보인다.
[자료: 보안뉴스]
차이점 중 주목할 부분은 ‘검증 기준’이다. SSV는 ‘제품의 신뢰성’ 자체에 집중했다면, N2SF는 그 기능을 비롯해 특정 사용자와 행동을 살피고 이를 어떻게 판단하는지 등 ‘동작 여부’를 본다. 기능 검증을 넘어 아키텍처 검증을 통해 거버넌스를 제시하고 있다.
‘관문’서 ‘설계자’로: SSV 구조적 한계 넘어선 N2SF 거버넌스
국정원이 SSV라는 ‘검증’ 절차를 개정하지 않고, N2SF라는 ‘아키텍처’를 먼저 제시한 이유는 새 거버넌스 확립을 위해서다. SSV가 검증할 표준을 정의해 이에 맞춰 절차도 고도화하겠다는 움직임이다.
이 때문에 N2SF는 단순 인증 제도를 넘어 공공 정보보호 영역 설계도를 제시하고, 검증하며 시스템 전 생애주기에 걸친 감시 체계를 구축해 국가·공공 보안의 변화를 이끌 것으로 보인다.
이러한 제도적 변화에 따라 보안 업계는 일회성 도입 승인을 넘어 지속적 관리와 취약점 대응 등을 포함한 제품 설계, ‘시큐리티 바이 디자인’(Secure-by-Design) 기반 제품 개발 및 시스템 구성을 통한 보안 내재화로 전환해야 할 시기를 맞이했다.
한 업계 전문가는 “공공 영역에서 추진하는 N2SF 전환에 따라 분명히 현 망분리 정책으로 인한 혁신성 제한에서 조금 더 자유로워질 것으로 예상되나, 방법이나 구축에 대한 명확한 가이드나 솔루션이 없는 상태에서 거버넌스 완성까지는 상당힌 시일이 걸릴 것”이라며 “다만. 공공기관의 변화는 금융권을 비롯해 산업 전반에 망분리 제도를 넘어선 혁신을 불러올 시발점이 될 것”이라고 말했다.
[조재호 기자(sw@boannews.com)]
공공 정보보호 생태계, 일회성 인증 넘어 ‘시큐어 바이 디자인’ 전환기 맞아
[보안뉴스 조재호 기자] 국가정보원은 9월 ‘국가망 보안체계(N2SF) 보안 가이드라인 1.0’을 공개하면서 국가·공공기관 보안의 구조적 변화를 예고했다. 핵심은 절차 중심의 ‘검증’에서 ‘아키텍처’ 중심의 지침 제공으로 전환한다는 점에 있다.
그간 공공 부문 보안 도입 문제를 규정해 온 ‘보안적합성검증’(SSV·Security Suitability Verification) 제도에 중대한 변화가 나타난 것이다. 이 과정에서 실제 이를 적용해 도입해야 할 현장에선 둘 사이의 개념 차이나 수행 방식 등을 놓고 혼란을 느끼는 것도 현실이다.
N2SF 도입과 함께 공공 부문 패러다임은 어떻게 변화하는 것일까?
지난 20여년 간 국정원 ‘보안적합성검증’(SSV·Security Suitability Verification)이 공공 영역에서 정보보호 시스템 도입을 위한 ‘최종 관문’ 역할을 도맡았다. 이 제도는 ‘경계 기반 보안’과 ‘신뢰할 수 있는 내부망’으로 구분된 망분리 환경에서 제품과 솔루션이 국가가 요구하는 최소한의 보안 기능을 갖췄는지 확인했다.
[자료: 생성형 AI 활용]
그러나 클라우드 전환과 인공지능(AI) 도입, 코로나19로 인한 근무 환경 변화는 망분리 시대의 끝을 알리고 있다. 망분리는 내부 업무망과 외부 인터넷망을 분리한 것을 말한다. 망을 분리해 외부 공격을 막고 내부 유출을 방지하자는 의미로 시작됐지만, 이러한 환경을 노린 공격이나 임직원 실수로 공격에 노출될 가능성이 있다.
또 내부망 침투에 성공하면 ‘횡적 이동’(Lateral Movement)을 통해 대규모 침해 사고를 일으켰다. 최근 APT나 랜섬웨어 공격으로 인한 사건·사고가 연이어 발생한 이유와도 무관치 않다.
이에 국정원은 SSV라는 ‘절차’를 수정하는 대신, 국가망 전반의 거버넌스를 바꾸는 근본적 해법을 제시했다. ‘국가망 보안체계’(N2SF·National Network Security Framework)다.
N2SF는 공공이 보유한 정보를 중요도에 따라 기밀(C), 민감(S), 공개(O) 등급으로 나눠 각각의 보안 통제 방식을 차등 적용함으로써 보안성과 데이터 활용성을 극대화하는 제도다. 기존 획일적 망분리에서 벗어나, 공공의 클라우드·AI 도입을 위해 업무 정보와 시스템에 대한 통제 항목을 6개 영역, 280여 세부 항목으로 구성했다.
N2SF는 SSV와 같은 특정 ‘검증’ 절차가 아니다. 제로트러스트에 기반한 ‘보안 아키텍처’로 정보보호 시스템 구성 방식을 재구성할 새로운 거버넌스다. 다만, 기존 SSV 절차의 존재 이유와 역할과 혼동을 일으켜 현장의 오해를 부르고 있는 부분도 있다.
절차와 거버넌스: SSV와 N2SF의 역할 정립
N2SF 가이드라인 제시에 앞서 올해 초 N2SF 초안이 공개됐을 때, 보안 업계와 공공 분야 담당자들이 겪은 혼란 중 하나는 N2SF가 SSV를 대체할 새로운 제도인지 혹은 별도 인증이 필요한지 여부였다.
결론부터 말하자면 ‘대체제’는 아니다. ‘보완재’이자 ‘기준의 고도화’로 봐야 한다. SSV가 특정 제품이나 서비스 등을 국가기관에 어떻게 도입해야 하는가를 묻는 행정적 절차라면, N2SF는 시스템과 네트워크를 ‘어떻게 설계하고 구성해야 하는가?’를 정의하는 기술적 설계 표준이자 아키텍처 혹은 거버넌스다.
SSV가 하나의 제품이나 서비스에 초점을 맞춘 개별적 단위 검증이라면, N2SF는 이들을 유기적으로 연결한 시스템 혹은 아키텍처라는 구성을 확인하는 새로운 기준을 제시한 것이다.
공통점과 차이점: 보안을 목표로 한 ‘접근 방식’
N2SF와 SSV는 ‘국가 사이버 안보 강화’라는 공통 목표를 제시한다. 하지만 목표에 도달하는 방식에선 차이를 보인다.
[자료: 보안뉴스]
차이점 중 주목할 부분은 ‘검증 기준’이다. SSV는 ‘제품의 신뢰성’ 자체에 집중했다면, N2SF는 그 기능을 비롯해 특정 사용자와 행동을 살피고 이를 어떻게 판단하는지 등 ‘동작 여부’를 본다. 기능 검증을 넘어 아키텍처 검증을 통해 거버넌스를 제시하고 있다.
‘관문’서 ‘설계자’로: SSV 구조적 한계 넘어선 N2SF 거버넌스
국정원이 SSV라는 ‘검증’ 절차를 개정하지 않고, N2SF라는 ‘아키텍처’를 먼저 제시한 이유는 새 거버넌스 확립을 위해서다. SSV가 검증할 표준을 정의해 이에 맞춰 절차도 고도화하겠다는 움직임이다.
이 때문에 N2SF는 단순 인증 제도를 넘어 공공 정보보호 영역 설계도를 제시하고, 검증하며 시스템 전 생애주기에 걸친 감시 체계를 구축해 국가·공공 보안의 변화를 이끌 것으로 보인다.
이러한 제도적 변화에 따라 보안 업계는 일회성 도입 승인을 넘어 지속적 관리와 취약점 대응 등을 포함한 제품 설계, ‘시큐리티 바이 디자인’(Secure-by-Design) 기반 제품 개발 및 시스템 구성을 통한 보안 내재화로 전환해야 할 시기를 맞이했다.
한 업계 전문가는 “공공 영역에서 추진하는 N2SF 전환에 따라 분명히 현 망분리 정책으로 인한 혁신성 제한에서 조금 더 자유로워질 것으로 예상되나, 방법이나 구축에 대한 명확한 가이드나 솔루션이 없는 상태에서 거버넌스 완성까지는 상당힌 시일이 걸릴 것”이라며 “다만. 공공기관의 변화는 금융권을 비롯해 산업 전반에 망분리 제도를 넘어선 혁신을 불러올 시발점이 될 것”이라고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
