N2SF 9월 정식 공개…통제 항목 세분화 및 구현 예시 추가

[아이티데일리] 국정원이 초안 공개 8개월여 만에 정식 가이드라인을 ‘국가 망 보안체계(National Network Security Framework, N2SF)’를 선보인다. 보안통제 항목은 크로스 도메인 솔루션(CDS)를 비롯해 260여 개로 늘어나며, 당초 공공부문에 제한적으로 공유된 정보서비스 모델 해설서는 외부에 공개된다.

국가정보원은 9일 서울 코엑스에서 열린 ‘사이버 서밋 코리아(Cyber Summit Korea, CSK) 2025’에서 N2SF 정식 가이드라인의 내용을 공유했다.

2007년부터 도입된 망 분리 정책은 외부 위협으로부터 공공 시스템을 보호하는 성과를 거뒀다. 하지만 인공지능(AI), 클라우드 등 신기술 도입에 어려움이 있어 개선이 필요하다는 목소리가 높아져 갔다. 이에 국정원은 2024년 초 관계기관 및 산학연 합동으로 TF를 운영했고 이를 바탕으로 올해 1월 N2SF 가이드라인 초안을 공개했다.

초안 공개 후 8개월여 만에 N2SF 정식 가이드라인이 9월 중으로 공개된다. 정식 가이드라인은 국가 및 공공기관에서 보다 이해하기 쉽도록 주요 개념과 보안통제 항목에 대한 요약과 설명이 보강된다. 구현 방법 예시를 상세히 담았으며 각 통제 항목을 구현하는 데 필요한 솔루션도 안내한다.

보안통제 항목은 기존 170여 개에서 CDS와 관리적 보안 통제 항목이 추가되며 260개로 늘어난다. 권한, 인증, 분리 및 격리 등 6개 카테고리는 유지된다. CDS는 다중계층 환경에서 각 영역 내부를 위협으로부터 보호하며 다른 영역으로 데이터를 전달하는 데 쓰이는 정보 통제 기술이다.

초안에서 공공기관에 제한적으로 공유된 정보서비스 모델 해설서는 외부에 공개된다. 국정원은 실제 예시로 정부·공공기관의 제도 이해도를 높이고자 해설서를 마련했다. 기존 8개였던 예시는 모바일, 무선, CDS 활용 모델이 더해진 11개로 확대된다.

국정원은 향후 ‘국가정보보안기본지침’에 N2SF를 명문화하고, 최신 기술을 반영해 정보서비스 모델 예시와 보안통제 항목을 업데이트해 나갈 계획이다.

N²SF 도입과 맞물려 공공부문 내 모바일 업무 환경도 달라진다. N2SF 보안 등급 중 공개(Open, O) 등급에 해당하는 모바일 기반 업무는 보안 요건이 완화된다. 이러한 변화에 따라 앞으로 재난·안전 현장에서도 스마트폰을 활용한 업무가 가능해질 전망이다.

이와 함께 청사 내 인터넷용 이외에 업무용 와이파이(WiFi) 보안 요건이 신설된다. 국정원은 이를 통해 유선망 기반 업무 환경을 무선망 기반으로 바꿔 나갈 계획이다. 구성 방안, 보안 대책 등 세부 사항을 N2SF 가이드라인 모델 해설서에 수록된다.

N2SF 시범 실증 사업도 시작된다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난 6월 △디지털플랫폼정부(DPG) 통합플랫폼 △범정부 초거대 AI 공통기반 △국가·공공기관 4곳을 대상으로 한 시범 사업 3건을 발표했다. 각 사업은 올해 12월까지 보안등급 분류와 통제 항목 구현을 진행하며 총 사업 규모는 약 45억 원이다.

이 밖에 한전KDN과 한국은행도 N2SF 적용을 추진하고 있다. 한전KDN은 에너지 부문 공공 클라우드(K-ECP)에서 ‘원격 브라우저 격리(RBI)’ 기술을 활용, 업무망에서 외부 AI 서비스에 접속할 수 있는 환경을 개발 중이다.

물리적 망 분리가 이뤄진 한국은행은 단말 1대로 위치에 제약 없이 업무·인터넷 이용이 가능한 환경을 N2SF 기반으로 구현한다. 내부 시스템 접속 시 제로 트러스트(Zero Trust) 기반으로 보안 요구사항 준수 여부를 지속 확인한다. 또 시스템 및 정보에 C/S/O 등급을 라벨링함으로써 외부 전송 시 등급별 정책에 따라 자료 유출을 통제한다.

국정원 관계자는 “N2SF 확산을 위해선 보안업계의 지원과 협력이 필요하다”며 “N2SF 구현에 필요한 솔루션 연구개발과 함께 내년에도 진행될 시범 실증 사업에 적극 참여해 줄 것을 당부한다”고 밝혔다.