2025년 6개 모델 실증 완료 및 취약점 선제 조치...원격 브라우저 격리(RBI) 등 검증
올해 55억 원 투입해 공공-보안기업 공모 및 무선망 운용체계 등 신규 용역 추진
[보안뉴스 조재호 기자] 한국인터넷진흥원(KISA)이 올해부터 N2SF의 본격적인 공공 확산과 미개척 모델 발굴에 예산을 대거 투입하며 공공 정보화 사업의 새로운 패러다임을 예고했다.
국가망 보안체계(N2SF)는 지난 2006년 이후 굳어진 ‘물리적 망분리’의 한계를 극복하기 위한 다층적 보안체계다. 기존 망분리를 완전히 허무는 것이 아닌 업무 데이터를 기밀(C)·민감(S)·공개(O) 등급으로 나누고, 최신 보안 기술을 적용해 안전하게 외부 AI와 클라우드를 쓸 수 있도록 전용 구간을 만드는 것이 핵심이다.
▲2025년 N2SF 실증 사업 사례 [출처: KISA]
KISA는 지난해 과학기술정보통신부의 주관하에 특허청과 국가보안기술연구소 등 4개 기관의 기존 업무환경과 범정부 초거대 AI 공통 기반 등 2개 신규 시스템을 대상으로 총 6개 N2SF 모델을 실제 공공 현장에 적용했다.
이 과정에서 시나리오 기반의 모의해킹을 통해 기존 보안 장비의 취약점을 식별하고 선제적으로 조치했다. 이외에 원격 브라우저 격리(RBI), AI 기반 데이터 유출 방지(AI-DLP), 제로트러스트(ZT) 등의 융합 보안 신기술이 공공망 내에서 정상 작동함을 입증했다.
올해는 검증된 모델을 타 기관으로 이식하고 미실증 모델을 추가 검증하기 위해 올해 총 55억원 규모의 사업을 추진한다. 우선 실증된 6개 모델을 도입하려는 수요기관과 공급기업이 컨소시엄을 맺어 참여하는 45억 원(6개 과제) 규모의 자유 공모가 진행된다. 기관의 실제 도입 의지와 데이터 등급(CSO) 분류 준비 수준이 핵심 평가 지표다.
공급기업은 단순 장비 납품을 넘어 수요기관의 업무 시나리오 기반 위협 모델링 분석부터 보안대책 수립, 모의해킹 점검까지 전 과정을 주도한다.
또, 아직 실증되지 않은 무선 업무 환경 운영 체계에 대해서도 9억9000만원 규모의 신규 실증 용역을 추진한다. 국정원과 협의해 스마트오피스 등 유연한 공공 업무 환경의 보안 기준을 선제적으로 세울 계획이다.
▲권혁 KISA AI정부보호팀장이 N2SF 사업에 대해 설명하고 있다. [출처: KISA]
N2SF가 공공의 새로운 활로로 주목받고 있지만, 실제 현장에서는 여전히 해결해야 할 과제들이 산적해 있다. 가장 큰 우려는 데이터 등급 분류 과정에서의 ‘하향 처리’다. 정보 등급에 따라 요구되는 국정원 보안 통제 항목이 최대 274개에 달하다 보니, 일선 기관들이 깐깐한 보안 심사와 예산 부담을 피하기 위해 민감(S)이나 기밀(C) 등급 데이터를 의도적으로 공개(O) 등급으로 낮춰 잡을 가능성이 제기된다.
기관이 규제 우회를 목적으로 등급을 임의로 분류하고 외부 AI와 연동할 경우, 국가 기밀이나 국민의 민감 정보가 해외서버로 유출되는 보안사고 가능성도 우려된다. 이에 KISA와 국정원은 사업 초기 ‘적정성 검토’ 단계를 통해 기관이 자체 분류한 CSO 등급의 정합성을 엄격하게 검증하여 편법 도입을 원천 차단한다는 방침이다.
정부 기조에 따른 눈치게임과 예산의 장벽도 문제다. AI 도입 및 N2SF 적용 시 공공기관 경영평가에 가점이 부여되면서 기관들의 도입 의지는 폭발적이나, 정작 추가 보안 솔루션을 구매할 자체 예산은 턱없이 부족한 실정이다.
보안 전문가들은 N2SF는 모든 기관의 의무 사항이 아니라 외부 AI 및 클라우드 도입이 필수적인 기관에 한해 적용되는 가이드라인으로, 경영평가 가점만을 노린 무리한 전면 도입보다는 명확한 활용 목적과 예산 계획 수립이 선행되어야 한다고 조언했다.
[조재호 기자(zephyr@boannews.com)]
올해 55억 원 투입해 공공-보안기업 공모 및 무선망 운용체계 등 신규 용역 추진
[보안뉴스 조재호 기자] 한국인터넷진흥원(KISA)이 올해부터 N2SF의 본격적인 공공 확산과 미개척 모델 발굴에 예산을 대거 투입하며 공공 정보화 사업의 새로운 패러다임을 예고했다.
국가망 보안체계(N2SF)는 지난 2006년 이후 굳어진 ‘물리적 망분리’의 한계를 극복하기 위한 다층적 보안체계다. 기존 망분리를 완전히 허무는 것이 아닌 업무 데이터를 기밀(C)·민감(S)·공개(O) 등급으로 나누고, 최신 보안 기술을 적용해 안전하게 외부 AI와 클라우드를 쓸 수 있도록 전용 구간을 만드는 것이 핵심이다.
▲2025년 N2SF 실증 사업 사례 [출처: KISA]
KISA는 지난해 과학기술정보통신부의 주관하에 특허청과 국가보안기술연구소 등 4개 기관의 기존 업무환경과 범정부 초거대 AI 공통 기반 등 2개 신규 시스템을 대상으로 총 6개 N2SF 모델을 실제 공공 현장에 적용했다.
이 과정에서 시나리오 기반의 모의해킹을 통해 기존 보안 장비의 취약점을 식별하고 선제적으로 조치했다. 이외에 원격 브라우저 격리(RBI), AI 기반 데이터 유출 방지(AI-DLP), 제로트러스트(ZT) 등의 융합 보안 신기술이 공공망 내에서 정상 작동함을 입증했다.
올해는 검증된 모델을 타 기관으로 이식하고 미실증 모델을 추가 검증하기 위해 올해 총 55억원 규모의 사업을 추진한다. 우선 실증된 6개 모델을 도입하려는 수요기관과 공급기업이 컨소시엄을 맺어 참여하는 45억 원(6개 과제) 규모의 자유 공모가 진행된다. 기관의 실제 도입 의지와 데이터 등급(CSO) 분류 준비 수준이 핵심 평가 지표다.
공급기업은 단순 장비 납품을 넘어 수요기관의 업무 시나리오 기반 위협 모델링 분석부터 보안대책 수립, 모의해킹 점검까지 전 과정을 주도한다.
또, 아직 실증되지 않은 무선 업무 환경 운영 체계에 대해서도 9억9000만원 규모의 신규 실증 용역을 추진한다. 국정원과 협의해 스마트오피스 등 유연한 공공 업무 환경의 보안 기준을 선제적으로 세울 계획이다.
▲권혁 KISA AI정부보호팀장이 N2SF 사업에 대해 설명하고 있다. [출처: KISA]
N2SF가 공공의 새로운 활로로 주목받고 있지만, 실제 현장에서는 여전히 해결해야 할 과제들이 산적해 있다. 가장 큰 우려는 데이터 등급 분류 과정에서의 ‘하향 처리’다. 정보 등급에 따라 요구되는 국정원 보안 통제 항목이 최대 274개에 달하다 보니, 일선 기관들이 깐깐한 보안 심사와 예산 부담을 피하기 위해 민감(S)이나 기밀(C) 등급 데이터를 의도적으로 공개(O) 등급으로 낮춰 잡을 가능성이 제기된다.
기관이 규제 우회를 목적으로 등급을 임의로 분류하고 외부 AI와 연동할 경우, 국가 기밀이나 국민의 민감 정보가 해외서버로 유출되는 보안사고 가능성도 우려된다. 이에 KISA와 국정원은 사업 초기 ‘적정성 검토’ 단계를 통해 기관이 자체 분류한 CSO 등급의 정합성을 엄격하게 검증하여 편법 도입을 원천 차단한다는 방침이다.
정부 기조에 따른 눈치게임과 예산의 장벽도 문제다. AI 도입 및 N2SF 적용 시 공공기관 경영평가에 가점이 부여되면서 기관들의 도입 의지는 폭발적이나, 정작 추가 보안 솔루션을 구매할 자체 예산은 턱없이 부족한 실정이다.
보안 전문가들은 N2SF는 모든 기관의 의무 사항이 아니라 외부 AI 및 클라우드 도입이 필수적인 기관에 한해 적용되는 가이드라인으로, 경영평가 가점만을 노린 무리한 전면 도입보다는 명확한 활용 목적과 예산 계획 수립이 선행되어야 한다고 조언했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
