2025년 N2SF 시범 실증 사업 우협대상자 3개사 선정
오는 12월까지 보안통제 항목 적용 방안 모색, 총 45억 원 규모
[아이티데일리] ‘국가 망 보안체계(N2SF)’를 공공 분야에 본격 적용하기 위한 시범 사업 3건의 우선협상대상자가 가려졌다.
13일 정보보호업계에 따르면, 한국인터넷진흥원(KISA)은 지난 7월 초 발주 공고한 N2SF 시범 실증 사업 3건의 우선협상대상자로 프라이빗테크놀로지, 투이컨설팅, SGA솔루션즈를 선정했다.
디지털플랫폼정부(DPG) 통합 플랫폼 대상 시범 실증은 프라이빗테크놀로지가, 국가·공공기관 대상 실증 사업은 SGA솔루션즈가 우선협상대상자로 선정됐다. 범정부 초거대 인공지능(AI) 공통기반 대상 N2SF 시범 실증 사업은 투이컨설팅이 우선협상대상자로 뽑혔다.
이들 기업은 KISA와 세부 항목 논의를 거쳐 계약이 확정되면, 지난 1월 국가정보원이 발표한 N2SF 가이드라인을 토대로 공공 시스템에 대한 보안 등급 분류 및 통제 항목 선정 등을 시범적으로 진행하게 된다. 3건의 실증 사업은 오는 12월 31일까지 약 4개월동안 진행된다.
N2SF는 정부 전산망을 △기밀(Classified) △민감(Sensitive) △공개(Open) 등으로 분류하고 각 등급에 맞는 보안 대책을 적용하는 프레임워크다. 기관은 시스템을 분석한 후 보안통제 항목을 등급별로 선택 적용한다. 보안통제 항목은 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 6개 영역으로 구성된다.
먼저 프라이빗테크놀로지가 우선협상대상자로 선정된 ‘DPG 통합 플랫폼 대상 N2SF 시범 실증’ 사업은 DPG 허브 내 기관 단말, 네트워크 연계 및 데이터 활용 서비스 등에 대해 보안 등급별 통제 항목을 구현하는 것을 목표로 한다. 예산 규모는 20억 원이다.
이 사업에서는 보안 등급이 상이한 정부 업무망과 인터넷망이 연계된 시스템을 대상으로 N2SF 기반 보안정책을 실증하게 된다. 분석 및 실증 과정 완료 후에는 취약점 점검을 실시한다. 이와 함께 사업 결과물을 바탕으로 N2SF 적용 전략을 검증하고 개선한다.
투이컨설팅이 우협대상자로 선정된 ‘범정부 초거대 AI 공통기반 대상 N2SF 시범 실증’ 사업은 민관 협력형 클라우드(PPP존)에 구축되는 범정부 초거대 공통기반을 대상으로 진행된다. 범부처 공무원이 사용하는 생성형 AI 서비스인 만큼 보안 걱정 없는 환경 구축이 목표다. 예산 규모는 15억 원이다.
사업자는 서로 보안 등급이 다른 정무 업무망과 인터넷망 간 연계 부분에 N2SF 보안통제 항목 적용 방안을 마련한다. 구체적으로 △구성요소 △프롬프트 동작 △저장소 △파인튜닝 및 데이터 플로우 등을 분석하고 머신러닝 기반 프롬프트 필터링 등 보안 대책을 고안할 예정이다.
176개 소항목에 이르는 N2SF 보안통제 항목 적용을 위해 장비 도입 및 테스트, 정합성 점검도 병행한다. 마지막으로 실증 결과물을 바탕으로 시나리오 기반 취약점 점검 등 보안성 검증 절차를 밟는다.
SGA솔루션즈가 우협대상자로 뽑힌 ‘국가·공공기관 대상 N2SF 시범 실증’ 사업은 △특허청 △국가과학기술연구회 △정보통신기획평가원 △국가보안기술연구소 등 4곳을 대상으로 추진된다. 각 기관에 적합한 N2SF 적용 전략을 모색하고 보안 등급 분류 및 통제 항목 컨설팅이 진행된다. 예산 규모는 9억 9천6백만 원이다.
우선 특허청은 업무망(특허넷) 내 생성형 AI 활용을 두고 보안을 실증한다. 접속 권한 관리부터 특정 프롬프트 차단, 기존 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션 등과의 연계 방안 등을 다룰 예정이다. 국가과학기술연구회는 재택근무 환경을 고려해 가상사설망(VPN) 등을 통한 업무망 접속 체계를 점검하며 웹 격리 솔루션, 문서중앙화 스토리지 등에 대해 N2SF 보안통제 항목을 구현한다.
정보통신기획평가원은 데이터 유출 방지(DLP) 솔루션 등을 활용, 생성형 AI 사용 시 공개 등급 업무정보만 생산 및 저장할 수 있도록 하는 위협식별 체계를 마련한다. 국가보안기술연구소는 인터넷망에서 연구·행정업무 시 이용하는 서비스 및 생성형 AI 활용과 관련해 데이터 보호 및 유출 방지, 가시성 확보 및 관리 등 위한 보안 체계를 구축한다.
우선협상자로 선정된 한 기업 관계자는 “아직 사업 수주가 확정된 것이 아니라 의견을 내기는 조심스럽다”면서도 “이번 사업을 통해 공공부문에 새로운 보안 체계를 본격적으로 적용하는 데 도움이 되기를 바란다”고 밝혔다.