AI·클라우드 시대 공공 보안의 새 이정표...망분리 장벽 허무는 N2SF
[IT동아 김예지 기자] 국가정보원과 한국인터넷진흥원(KISA)가 데이터 중요도에 따라 보안 수준을 차등 적용하는 국가 망 보안체계(N2SF)를 이달부터 전격 시행한다. 이에 앞서 KISA는 지난 4월 N2SF 보안 가이드라인에 따라 실제 정부기관 업무 환경을 실증한 결과를 담은 ‘N2SF 실증 사례집’을 발행했다.
N2SF 등장 이유…등급별 차등 보안
지난 20년간 공공기관 업무용 PC는 인터넷과 물리적으로 단절된 내부망에 묶여 있었다. ‘망분리’로 불린 이 원칙은 국가 사이버 보안의 핵심 축으로, 실제 사이버 침해 시도를 막는 데 기여했다. 그러나 동시에 디지털 전환 시대의 업무 효율의 발목을 잡는 요인으로 지목되기도 했다.
생성형 AI와 클라우드 등 도입이 가속화되면서 물리적 망분리 정책은 한계에 직면했다. 모든 시스템에 동일한 보안 정책을 일률적으로 적용하는 방식으로는 기술적 변화를 수용하기 어렵다는 이유에서다. 특히 정상 계정 탈취를 통한 내부망 침투나 지능화된 비인가 접근처럼 경계 안쪽의 위협에 대응하기 어려웠다.
정부는 경직된 망분리 체계를 개편해기 위해 N2SF를 구체화했다. N2SF은 정보와 시스템의 성격에 따라 보안 등급을 매기고, 이에 최적화된 통제 항목을 차등 적용하는 방식이다. 다만 정부는 “망을 통합하는 개념은 아니다. 여전히 망은 분리되며, 국가 안보나 기밀과 직결된 정보는 강력한 물리적·논리적 분리 상태를 유지한다”며, “서비스별 위험도를 평가해 보안 가중치를 부여함으로써 효율성과 보안성을 동시에 확보한다”고 밝혔다.
N2SF에서 보안 통제의 핵심은 정보 등급 분류(C/S/O)다. ▲C등급(Classified, 기밀)은 국방·외교·수사 등 기밀, 국민 생명·안전과 직결된 비공개 정보 ▲S등급(Sensitive, 민감)은 개인정보, 감사·인사 관련 비공개 정보 ▲O등급(Open, 공개)은 공개 가능한 일반 정보, 별도 비식별 처리한 정보 등이다. N2SF는 주체와 객체 간 등급이 다를 경우 별도의 연계 통제를 적용한다. 예컨대, S등급 단말이 O등급 외부 서비스에 접속할 때 민감 정보가 유출되지 않도록 구간별 차단 기술을 가동하는 식이다.
이를 기반으로 N2SF는 정보서비스 모델 11종을 제시한다. 각 모델은 서비스 유형과 정보 등급 조합에 따라 적용해야 할 보안 통제 항목을 구체적으로 규정함으로써 ‘전면 차단’이나 ‘전면 허용’이 아닌, 서비스 조합별 구체적인 보안 가이드를 제공한다. 특히 N2SF는 ‘제로 트러스트(Zero Trust)’를 기반으로, 내부망에 있더라도 모든 접근을 지속 인증·검증하도록 요구한다.
생성형 AI 활용, 조건부 허용으로 업무 혁신
이번 사례집에 수록된 실증 모델은 ▲인터넷 단말의 업무 활용성 제고 ▲업무환경에서 생성형 AI 활용 ▲외부 클라우드 활용 업무협업 체계 ▲업무 단말의 인터넷 이용 ▲공공데이터의 외부 AI 융합 ▲클라우드 기반 통합 문서체계 등이다.
주목할 만한 부분은 ‘업무환경에서 생성형 AI 활용’이다. 이 모델은 업무 단말에서 업무 효율성 향상을 위해 챗GPT 등 외부 생성형 AI 서비스를 업무에 활용하는 시나리오를 다룬다. 단순 질의의 경우 별도의 기술적 조치 없이도 이용이 가능하나, 업무 정보를 활용하려면 철저한 보안 통제가 수반된다. 또한 결과물을 생성하는 경우 역시 업무정보가 서비스를 경유하는 경로에서 보안 통제가 필요하다.
민감한 정보를 AI에 업로드하거나 그 결과물을 내부 문서로 저장할 때 데이터 유출 방지(DLP) 및 망연계 보안 솔루션이 필수적으로 적용된다. 또한 다중요소인증(MFA)을 의무화해 접속 시마다 OTP, 모바일 인증, 생체인증 등 추가 인증을 적용해, 계정 탈취만으로는 내부 침투가 불가능하도록 설계했다. 실증 과정에서는 아이덴티티·인증·접근 관리(ICAM), 세션 타임아웃, 유료 계정 기반 접속 관리 등 구체적인 구현 방안이 제시됐다.
한편, N2SF 시행에 발맞춰 정부는 지능형 업무 플랫폼 ‘온AI’의 모바일 서비스를 지난 4월 30일 정식 개시했다. 온AI는 메일, 메신저, 드라이브 같은 민간 기업의 클라우드 및 AI 기술을 행정 업무에 활용할 수 있도록 2025년 구축된 플랫폼이다. 업무망 기반 대화형 AI 서비스 ‘AI 행정지원’, ‘업무공간’, 민간 SaaS 기반 ‘소통협업도구’ 등 기능을 제공한다.
여기에서 확장되는 온AI 모바일 서비스는 업무망 PC에서만 이용할 수 있던 서비스를 개인 스마트폰에서도 동일하게 사용 가능하도록 지원한다. 이를 통해 외부에서도 실시간으로 유연한 보고 체계가 구현되며, 긴급 화상회의 참여가 가능해질 것으로 기대된다. 정부는 “모바일 신분증 기반의 강력한 인증으로 보안성을 높였으며, 캡처 방지 및 파일 저장 제한 기능을 통해 외부 유출 가능성을 원천 차단했다”고 밝혔다.
지난해 11월부터 행정안전부, 과학기술정보통신부, 식품의약품안전처, 기획재정부 등 4개 부처에 도입됐으며, 하반기 중 40개 이상 중앙행정기관으로 적용 범위가 확대될 예정이다.
N2SF의 본격 시행으로 공공기관 업무 환경이 전환점을 맞이한 가운데, 업무 효율성과 보안성의 균형점을 확보하는 것이 향후 핵심 과제가 될 것으로 전망된다.
IT동아 김예지 기자 (yj@itdonga.com)
