[2025 정보보호 솔루션 컨퍼런스①] “사이버보안의 뉴 패러다임, N2SF와 제로 트러스트”

[아이티데일리] 제로 트러스트(Zero Trust)는 사이버보안의 패러다임을 바꾸고 있다. 증가하는 공격 표면을 관리하고자 기업들은 데이터 중심으로 모든 요소를 검증하는 제로 트러스트 도입에 관심을 기울이고 있다.

공공 부문에도 보안의 새로운 바람이 불고 있다. 국가정보원이 준비하는 ‘국가 망 보안체계(National Network Security Framework, N2SF)’는 시스템·정보를 3등급으로 분류하고, 통제를 차등 적용하는 보안 프레임워크다. 20년간 이어진 망 분리 일변도의 공공 보안 정책이 N2SF와 함께 변화하고 있는 것이다.

본지(컴퓨터월드/IT DAILY)는 지난달 4일 서울 양재동 엘타워에서 ‘사이버보안의 뉴 패러다임, N2SF와 제로 트러스트’를 주제로 ‘2025 정보보호 솔루션 컨퍼런스’를 개최했다. N2SF와 제로 트러스트에 대한 독자들의 열띤 관심을 엿볼 수 있던 이번 행사 내용을 정리했다.

키노트를 맡은 대구대학교 김창훈 교수는 ‘사이버 보안의 뉴 패러다임, N2SF와 제로 트러스트’를 주제로 발표에 나섰다. 김창훈 교수는 현재 한국사이버안보학회 N2SF 연구회 회장을 맡고 있으며 N2SF를 수립하기 위한 여러 활동에 참여하고 있다.

전 세계 각국에서 새로운 사이버보안 전략을 수립하고 있다. 기존 경계망을 중심으로 하는 체계에서 IT 자산을 보안의 핵심 요소로 여기기 시작했다. 클라우드, AI 등 신기술이 등장하며 자산이 내외부 산재하게 됐으며, 늘어난 공격 표면으로 해커들이 파고들 수 있는 허점도 늘어난 영향이다.

이에 대응하고자 미국 연방 정부는 위험 관리 프레임워크(Risk Management Framework)를 적용 중이며 국립표준기술연구소(NIST)에서 ‘사이버보안 프레임워크(Cyber Security Framework)’도 개발했다. 제로 트러스트(Zero Trust) 역시 이와 같은 맥락에서 출발했다.

우리나라 국가정보원도 차세대 보안 체계를 연구해 왔으며 그 결과물인 N2SF의 정식 공개를 앞두고 있다. N2SF는 중요도에 따라 보안통제를 차등 적용하는 프레임워크다. 국가·공공기관의 업무 정보와 시스템은 △기밀(Classified, C) △민감(Sensitive, S) △공개(Open, O) 등 3개 등급으로 분류된다.

N2SF가 미국의 보안 체계와 차별화되는 지점은 ‘분리 및 격리’다. 김창훈 교수는 “프레임워크는 사이버보안을 강화하기 위한 밑그림이다. 프레임워크를 토대로 아키텍처를 수립할 때 각 기관은 내부 환경에 따라 적절한 구조를 선택한다”며 “국정원은 N2SF를 구현하는 데 있어 격리 기반 대응 체계를 강조한다. 준비 단계에서부터 도메인을 등급별로 분류함으로써 위협이 발생하더라도 피해를 최소화하는 동시에 원인을 규명하는 일까지 가능하다”고 설명했다.