국가망보안체계(N2SF) 정식 가이드라인 9월 공개…통제항목 대폭 상세화

[아이티데일리] 국가정보원의 국가망보안체계(N²SF) 가이드라인 정식 버전이 9월 중 발표된다. 올해 1월 초안(Draft Version)이 나온 후 8개월여 만이다. 당초 계획보다 발표가 다소 늦어졌지만 상세 가이드라인이 확정, 공표되면 공공기관 보안 강화를 위한 새로운 전환점이 될 것으로 기대된다.

14일 사이버 보안 업계에 따르면 국정원은 다음 달 8~11일 개최되는 사이버서밋코리아(CSK) 행사에서 ‘N²SF 가이드라인 1.0’을 공개할 계획이다. 정식 가이드라인에서는 그간 보안기업 및 공공기관 담당자들로부터 제기된 현장 의견들이 대폭 반영된 것으로 알려졌다. 이 같은 내용은 13일 여수에서 열린 한국사이버안보학회 워크숍 행사에서 국정원 담당자가 공개했다.

N²SF는 정부·공공기관 전산망을 업무 중요도에 따라 △기밀(C) △민감(S) △공개(O) 등급으로 분류하고 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 크게 6개 영역으로 구분되는 보안통제 항목을 등급에 따라 차등 적용하는 것이 핵심이다.

국정원에 따르면 N²SF 정식 가이드라인은 우선 보안통제 항목을 대폭 확장한다. 국정원 담당자는 “초안에서 176개였던 통제항목이 세부 항목까지 포함하면 260개 정도까지 확대될 예정”이라고 밝혔다. 기존 170여개 항목에서 90개 이상이 늘어난 만큼 보안 체계의 세밀함이 한층 강화될 것으로 기대된다.

가이드라인이 정식 버전으로 다듬어지면서 내용을 참고하는 실무진의 편의성도 크게 개선될 전망이다. 정식 가이드라인에는 공공기관들이 단계별 절차를 체계적으로 진행할 수 있도록 하는 산출물 양식이 포함된다. 정보 서비스의 개요부터 보안 목표, 보안통제 적용 구성도, 전산망 등급 분류, 통제 항목과 그에 따른 보안 요구사항까지를 포함하는 표준 템플릿을 제공해 현장 적용성을 높인다는 방침이다.

한 보안 기업 관계자는 “초안은 방향성만 보여준 것이고, 정식 가이드라인은 본격적으로 새로운 보안 체계를 적용할 수 있는 신호탄이라 할 수 있다”며 “정식 버전에서 구체적 실행 방안과 산출물 양식까지 제공한다니 현장 도입 시 많은 도움이 될 것으로 기대한다”고 말했다.

한편 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주도하는 N²SF 실증사업도 본격화되고 있다. 지난 6월 공고된 N²SF 실증사업은 이달 초 개찰했고, 12일께 사업 수행 기업의 윤곽이 나온 상태다. ‘범정부 초거대 AI 공통기반 대상’ 과제는 투이컨설팅이, ‘국가·공공기관 대상’ 과제는 SGA솔루션즈가 수주했다. ‘DPG 통합플랫폼 대상’ 과제는 단독 입찰한 프라이빗테크놀로지가 최종 수주를 앞두고 있다. 실증 사업은 올해 말까지 진행되므로 내달 나올 정식 가이드라인의 내용이 반영 가능할 전망이다.

이와 더불어 국정원 측은 “한전KDN과 한국은행 등 주요 공공기관들도 이미 사전에 원측과 긴밀히 협력해 N²SF 선도사업을 추진하고 있다”고 밝혔다. 이에 따라 새로운 보안체계의 정착을 위한 모범 사례들이 속속 등장할 것으로 기대된다. 국정원은 한국정보보호산업협회(KISIA) 등을 통해 업계 의견을 지속적으로 수렴하며 통제 항목의 완성도를 높인다는 계획이다.