보안 인사이트

[N²SF 시리즈 #1] 아무도 말해주지 않는 N²SF 단계별 주요 활동의 비밀

[N²SF 시리즈 #1] 아무도 말해주지 않는 N²SF 단계별 주요 활동의 비밀

이철호

2025. 3. 19.

N²SF는 공공 정보서비스 인프라에 대한 정보보안 표준

공공기관이 새로운 정보서비스를 구축할때에는 공공분야 정보보안 표준인 국가정보보안기본지침에 따라 반드시 국가정보원 보안성검토를 거쳐 보안대책이 적절한지 평가를 받아야 하고, 그 과정에서 보안진단, 모의해킹 등이 이뤄질 수 있다.

현행 지침은 보안성검토 의뢰 시에 사업계획서, 제안요청서, 정보통신망 구성도와 함께 자체 보안대책을 제출토록 하고 있는데, 앞으로는 N²SF 단계별 주요활동 산출물을 보안대책으로 제출하게 될 것으로 보인다.

국가망보안체계 가이드라인


N²SF 5단계는 국가정보원 보안성검토를 위한 기초활동

N²SF에 포함된 5단의 활동은 ➊준비, ➋C/S/O등급분류, ➌위협식별, ➍보안대책 수립, ➎적절성 평가·조정 까지 순차적으로 진행되고, 마지막 단계가 완료되면 국가정보원 보안성검토를 의뢰하게 된다.

이때, N²SF의 산출물은 국가정보원 보안성검토 의뢰에 포함된다. 각 주요활동의 산출물의 세부사항은 가이드라인을 참고하면 된다.

N2SF 5단계

N²SF 단계별 주요활동의 상관관계

각 단계에서 수행되는 주요 활동의 산출물(문서파일 등)은 다음 단계의 활동을 위한 입력 정보로 활용된다. 즉, N²SF의 주요 활동은 상호 연관되므로 각 활동의 산출물을 정확히 정의하고 다음 활동으로 연계될 수 있도록 각급기관은 자체적인 N²SF 세부지침(방법론, 절차, 시스템 등)을 갖춰야 할 것으로 보인다.

N2SF 세부지침필요

보안성검토 의뢰 전 N²SF 단계별 주요활동에 대한 기관 자체평가의 중요성

N²SF는 각급기관이 수립한 보안대책의 적절성을 기관 스스로 평가하여 조정하는 단계를 포함하고 있으므로, 이 단계에서 N²SF 단계별 주요활동의 문제점, 미흡사항 등을 확인하고 보안성검토 의뢰 전에 바로잡을 수 있는 기회가 주어진다.

이것이 바로 N²SF 단계 5가지 중 마지막인 ‘적절성 평가·조정’ 단계이며, 기관이 자체 심의위원회(보안담당자, 컨설팅전문업체, 전문가 등)를 구성해 활동하게 된다.

가이드라인에 따르면, 더 이상 조정이 필요한 사항이 발견되지 않을 때 까지 평가·조정을 반복적으로 수행하게 된다.

N2SF 기관 자체평가

만약, 조정이 필요함에도 불구하고 이를 파악하지 못하고 기관이 평가결과를 승인하여 보안성검토 의뢰를 하게되면, 이후 보안성검토에서 지적사항이 발생되어 더 복잡한 절차를 수반하는 조정을 거치게 될 가능성이 높다.

따라서, ➊업무정보와 정보시스템에 대한 C/S/O 등급의 분류가 올바른지, ➋위협모델링 방법론 적용은 올바른지, ➌발생 가능한 위협을 올바르게 식별했는지, ➍식별된 각 위협을 완화(Mitigate)/제거(Remove)/회피(Avoid)/전가(Transfer)하기 위한 보안대책은 올바르게 적용했는지, ➎보안통제 항목의 선택은 적절한지, ➏보안통제 항목의 구현 계획은 적절한지 등을 기관이 자체적으로 평가할 수 있어야 한다.

 기관 자체적으로 이를 위한 능력을 갖추기 위해서는, N²SF에 대한 기술적 전문성을 가진 컨설팅전문업체를 N²SF의 모든 단계에 참여시켜 기관 보안담당자와 공동으로 N²SF 주요 활동을 수행토록 하는 것이 바람직하다.


엔키화이트햇은 북한 해킹조직보다 많은 실전 공격 TTP와 다양한 산업분야의 실전 침투시험(모의해킹) 노하우를 기반으로, 공격자 관점에서 위협을 식별하고 이를 보안통제 항목으로 자동으로 연계하며 실전 모의해킹을 통해 그 적절성을 평가하는 N²SF 전용 컨설팅 방법론을 갖추고 있으며, N²SF 전반에 걸친 교육·훈련 서비스를 준비하고 있다.

※본 기고문은 2025년 1월 공개된 ‘국가 망 보안체계(N²SF) 보안가이드라인(Draft)’를 기준으로 하나, 자사의 주관적인 관점이 일부 포함되어 있음을 밝힙니다.

이철호

이철호

엔키화이트햇 연구소장 / CTO
엔키화이트햇 연구소장 / CTO

· 2022~현재 : 엔키화이트햇 연구소장 겸 CTO · 2004~현재 : ETRI 부설 국가보안기술연구소 책임연구원 (중소기업연구인력파견지원사업으로 엔키화이트햇 파견 중) · 2024 : 과기부/KISA 제로트러스트 가이드라인 2.0 집필진 · 2024 : 국가 망 보안체계 민간 T/F 위원

· 2022~현재 : 엔키화이트햇 연구소장 겸 CTO · 2004~현재 : ETRI 부설 국가보안기술연구소 책임연구원 (중소기업연구인력파견지원사업으로 엔키화이트햇 파견 중) · 2024 : 과기부/KISA 제로트러스트 가이드라인 2.0 집필진 · 2024 : 국가 망 보안체계 민간 T/F 위원

침해사고 발생 전,
지금 대비하세요

빈틈없는 보안 설계의 시작, NO.1 화이트 해커의 노하우로부터

침해사고 발생 전,
지금 대비하세요

빈틈없는 보안 설계의 시작, NO.1 화이트 해커의 노하우로부터

침해사고 발생 전,
지금 대비하세요

빈틈없는 보안 설계의 시작,
NO.1 화이트 해커의 노하우로부터

공격자 관점의 깊이가 다른 보안을 제시합니다.

Contact

biz@enki.co.kr

02-402-1337

서울특별시 송파구 송파대로 167
(테라타워 B동 1214~1217호)

ENKI WhiteHat Co., Ltd.

Copyright © 2025. All rights reserved.

공격자 관점의 깊이가 다른 보안을 제시합니다.

ENKI WhiteHat Co., Ltd.

Copyright © 2025. All rights reserved.