보안 인사이트
이철호
2025. 3. 19.
N²SF는 공공 정보서비스 인프라에 대한 정보보안 표준
공공기관이 새로운 정보서비스를 구축할때에는 공공분야 정보보안 표준인 국가정보보안기본지침에 따라 반드시 국가정보원 보안성검토를 거쳐 보안대책이 적절한지 평가를 받아야 하고, 그 과정에서 보안진단, 모의해킹 등이 이뤄질 수 있다.
현행 지침은 보안성검토 의뢰 시에 사업계획서, 제안요청서, 정보통신망 구성도와 함께 자체 보안대책을 제출토록 하고 있는데, 앞으로는 N²SF 단계별 주요활동 산출물을 보안대책으로 제출하게 될 것으로 보인다.

N²SF 5단계는 국가정보원 보안성검토를 위한 기초활동
N²SF에 포함된 5단의 활동은 ➊준비, ➋C/S/O등급분류, ➌위협식별, ➍보안대책 수립, ➎적절성 평가·조정 까지 순차적으로 진행되고, 마지막 단계가 완료되면 국가정보원 보안성검토를 의뢰하게 된다.
이때, N²SF의 산출물은 국가정보원 보안성검토 의뢰에 포함된다. 각 주요활동의 산출물의 세부사항은 가이드라인을 참고하면 된다.

N²SF 단계별 주요활동의 상관관계
각 단계에서 수행되는 주요 활동의 산출물(문서파일 등)은 다음 단계의 활동을 위한 입력 정보로 활용된다. 즉, N²SF의 주요 활동은 상호 연관되므로 각 활동의 산출물을 정확히 정의하고 다음 활동으로 연계될 수 있도록 각급기관은 자체적인 N²SF 세부지침(방법론, 절차, 시스템 등)을 갖춰야 할 것으로 보인다.

보안성검토 의뢰 전 N²SF 단계별 주요활동에 대한 기관 자체평가의 중요성
N²SF는 각급기관이 수립한 보안대책의 적절성을 기관 스스로 평가하여 조정하는 단계를 포함하고 있으므로, 이 단계에서 N²SF 단계별 주요활동의 문제점, 미흡사항 등을 확인하고 보안성검토 의뢰 전에 바로잡을 수 있는 기회가 주어진다.
이것이 바로 N²SF 단계 5가지 중 마지막인 ‘적절성 평가·조정’ 단계이며, 기관이 자체 심의위원회(보안담당자, 컨설팅전문업체, 전문가 등)를 구성해 활동하게 된다.
가이드라인에 따르면, 더 이상 조정이 필요한 사항이 발견되지 않을 때 까지 평가·조정을 반복적으로 수행하게 된다.

만약, 조정이 필요함에도 불구하고 이를 파악하지 못하고 기관이 평가결과를 승인하여 보안성검토 의뢰를 하게되면, 이후 보안성검토에서 지적사항이 발생되어 더 복잡한 절차를 수반하는 조정을 거치게 될 가능성이 높다.
따라서, ➊업무정보와 정보시스템에 대한 C/S/O 등급의 분류가 올바른지, ➋위협모델링 방법론 적용은 올바른지, ➌발생 가능한 위협을 올바르게 식별했는지, ➍식별된 각 위협을 완화(Mitigate)/제거(Remove)/회피(Avoid)/전가(Transfer)하기 위한 보안대책은 올바르게 적용했는지, ➎보안통제 항목의 선택은 적절한지, ➏보안통제 항목의 구현 계획은 적절한지 등을 기관이 자체적으로 평가할 수 있어야 한다.
기관 자체적으로 이를 위한 능력을 갖추기 위해서는, N²SF에 대한 기술적 전문성을 가진 컨설팅전문업체를 N²SF의 모든 단계에 참여시켜 기관 보안담당자와 공동으로 N²SF 주요 활동을 수행토록 하는 것이 바람직하다.
엔키화이트햇은 북한 해킹조직보다 많은 실전 공격 TTP와 다양한 산업분야의 실전 침투시험(모의해킹) 노하우를 기반으로, 공격자 관점에서 위협을 식별하고 이를 보안통제 항목으로 자동으로 연계하며 실전 모의해킹을 통해 그 적절성을 평가하는 N²SF 전용 컨설팅 방법론을 갖추고 있으며, N²SF 전반에 걸친 교육·훈련 서비스를 준비하고 있다.
※본 기고문은 2025년 1월 공개된 ‘국가 망 보안체계(N²SF) 보안가이드라인(Draft)’를 기준으로 하나, 자사의 주관적인 관점이 일부 포함되어 있음을 밝힙니다.