보안 인사이트

국가망보안체계(N2SF)를 둘러싼 오해와 진실 10가지

김인순

Feb 18, 2025

국가망보안체계(N2SF)의 배경

정부가 국가 공공기관에 2006년부터 시행한 망분리 정책에 대대적인 정비를 시작했다.

국가 공공기관은 그동안 외부 인터넷망과 내부 업무마을 분리해 사용하는 정책을 준수해왔다. 망분리 정책은 중요한 정보를 다루는 내부 시스템을 외부 인터넷과 차단해 사이버 위협에 대처했다. 이 정책 도입 후 대형 사이버 공격으로 인한 업무 시스템 마비 최소화 등의 효과를 봤다.

하지만 국가 공공기관은 망분리 정책에 가로막혀 민간과 달리 생성형AI와 클라우드 등 신기술 도입이 늦어졌다. 정부는 달라진 업무 환경과 신기술을 반영할 있도록 시행된지 19년 된 망분리 정책 개선에 나섰다.

‘국가 망 보안체계’(N2SF : National Network Security Framework)란 무엇인가?

그동안 망분리 정책을 주도한 정부기관은 국가정보원이다.
국정원은 2013년 '3.20 언론ㆍ금융社 전산망 공격', 2011년 '3.4 DDoS', 2009년 '7.7 DDoS' 등 범국가적 사이버공격이 지속적으로 발생하면서, 국가 사이버 안보 정책을 수립하고 시행해왔다. 국정원은 사이버관련 주요 정책을 기획ㆍ조율하고, 제도ㆍ지침을 마련하며 국가 주요 정보통신망을 보호하는 역할은 한다.

국정원은 2024년 9월 사이버서밋코리아(CSK) 행사에서 ‘국가 망 보안체계(N2SF)’ 주요 내용 과 시행방안ㆍ추진 계획 등을 담은 로드맵(案)을 공개했다. 당시에는 N2SF가 아닌 다층보안체계(MLS)로 발표했다.

N2SF핵심 개념은 정부 전산망을 업무 중요도에 따라 기밀(Classfied)ㆍ민감(Sensitive)ㆍ공개(Open) 등급으로 분류하는 것이다. 보안통제 항목을 차등적으로 적용해 보안성과 데이터 공유 활성화를 동시에 충족하게 한다.

각급기관은 ‘정보공개법’ 등 관련 법령에서 규정한 ‘비공개 정보’는 중요도에 따라 소관 업무정보를 대상으로 기밀(C)/민감(S)으로 분류하고, 이외 모든 정보는 공개(O)로 분류한다.

국가 망 보안체계 적용은 “❶준비→ ❷C/S/O 등급분류→❸위협식별 →❹보안대책 수립→❺적절성 평가ㆍ조정”의 5단계로 추진한다.

각급기관은 ‘권한’ㆍ‘인증’ㆍ‘분리 및 격리’ㆍ‘통제’ㆍ‘데이터’ㆍ‘정보자산’ 등 6개 영역으로 구성된 ‘보안통제 항목’에서 등급별 보안수준에 필요한 항목을 선택ㆍ적용한다. 통제 항목은 보안기술 변화를 반영하여 지속 업데이트한다.

국가 망 보안체계에 대한 10가지 궁금증과 답

1.다층보안체계(MLS)와 국가 망 보안체계(N2SF)는 무엇이 다른가요?

-국정원은 2024년 9월 망분리 개선안을 MLS로 발표했다. 하지만 MLS가 과거 미국 국방부 보안용어와 혼동되는데다 개념이 어려워 국민이 보다 쉽게 이해할 수 있는 ‘국가 망 보안체계(N2SF : National Network Security Framework)’로 다시 명명했다.

2. 정책 발표에 따라 모든 국가와 공공기관 서비를 즉시 N2SF로 즉시 전환해야 합니까?

-그렇지 않다. 각 기관의 시스템 규모와 예산 등 상황을 고려해 점진적으로 전환을 권고한다. 각 기관은 신규 구축 예정이거나 내구연한이 도래한 시스템부터 새로운 N2SF에 맞춰 전환하면 된다. 대규모 시스템은 단기간에 데이터나 정보 등급 분류가 어렵다. 우선 ISP를 실시해 면밀하게 계획을 수립하고 점진적으로 추진하는 것을 기본으로 한다.

3. 데이터 중요도에 따라 C/S/O로 분류하는 주체는 누구인가? C/S/O 등급 분류 기준이 모호한 것은 아닌가?

-각급기관의 장이 데이터 중요도를 분류한다. 현재 민원인의 정보공개 청구시에도 해당 정보의 공개 여부는 각급기관의 장이 판단하여 결정하고 있다.

각급기관은 이미 관계 법령(정보공개ㆍ공공데이터법)에 따라 보유데이터를 공개ㆍ비공개로 분류하고 있다. N2SF 등급 분류기준도 이를 참고해 마련했다. 기존과 같이 자율적 검토와 분류 가능하며 기준이 모호하지 않다.

4. N2SF가 시행되면 망 분리는 즉시 없애야 하나요?

-그렇지 않다. N2SF는 기존 망분리를 폐지하는 것이 아니라 현실에 맞게 일부 개선하는 것이다. 각급기관에서 등급별 보안대책을 고려해 기존 망분리 유지하거나 개선할 수 있다. 보안성 강화를 위해 망분리를 유지하는 곳은 그대로 두고, 생성AI와 클라우드 등 신기술 도입을 통해 생산성 향상과 혁신이 필요한 분야는 N2SF에 따라 시행하면 된다.

각급기관이 C/S/O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용하면 된다.

5.N2SF가 시행되면 기존에 검증 받은 제품의 효력은 무효화 되는가?

-아니다. 기존 검증 제품은 해당 유효기간까지 효력이 인정된다.

6. 2025년 각급기관 대상 N2SF 정책 시행 방침은?

-국정원은 관계기관과 함께 선도사업을 통해 안전성 등을 검증할 계획이다. 각급기관이 정보서비스 활용모델을 참고해 단기 이행이 가능한 사항부터 우선 추진하게 정책을 시행한다.

신규 정보화 사업은 N2SF 체계를 반영하여 추진한다. 기관 보유 시스템 규모 및 예산 등 기관별 상황에 맞게 ISPㆍ예산 수립 등 적절한 전환 계획을 수립하고 추진한다.

7. 정보서비스 활용 모델은 8개를 예시했는데 향후 계획은?

-정보서비스 예시 모델은 각급기관이 N2SF로 전환을 쉽게 할 수 있도록 안내하는 것이 목적이다. 국정원은 다양한 정보서비스를 반영한 추가 모델을 지속해서 개발ㆍ업데이트할 계획이다. 정책 초기 각급 기관이 방향을 잡을 수 있게 활용 모델을 제시한 것이다.

8. N2SF 정책 시행되면, 과기부 클라우드 보안인증제(CSAP)는 폐지되는가?

-아니다. 과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도다. 국정원은 국가ㆍ공공기관의 클라우드 등 정보화 서비스 도입시 보안요건 적합 여부를 검증한다. 과기부는 민간, 국정원은 국가 공공기관으로 이미 대상과 목적이 다르다.

하지만, 과기부는 각급기관과 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정이다.

9. N2SF, CSAP 등 각각의 제도ㆍ인증 등이 이중 심사는 아닌가?

-국정원은 관련 법령에 근거해 국가ㆍ공공기관의 정보화사업 보안성 검토 및 검증을 실시한다. 국정원은 정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정한다. CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사ㆍ검토 없이 공공분야 보안기준 위주로 검증하고 있다. 이중심사는 아니다.