최근 보안 업계와 공공기관 담당자분들 사이에서 가장 뜨거운 화두를 꼽으라면 단연 '공공 보안 가이드라인의 변화'일 것입니다. 그동안 철옹성 같았던 공공기관의 보안 기준이 통두리째 바뀌고 있기 때문인데요.
최근 발표된 보안 동향에 따르면, 이제 공공 보안의 핵심 축이 물리적인 '망 분리'에서 '데이터 자체의 보호'로 이동하고 있습니다. 이번 뉴스레터에서는 우리 조직이 무엇을 준비해야 하는지 기사 형식으로 알기 쉽게 짚어드리겠습니다!
![[보안 리포트]공공 보안 패러다임의 대전환, '망'에서 '데이터' 중심으로!](/uploads/thumb_1780389623_1409.png)
1. 굳건했던 ‘망분리’ 중심 보안, 왜 변해야만 했을까?
그동안 대한민국 공공기관은 내부 업무망과 외부 인터넷망을 완전히 단절시키는 이른바 ‘망분리’ 방식으로 보안성을 유지해 왔습니다. 침입할 틈을 주지 않는다는 점에서는 효과적이었지만, 시대가 급변했습니다.
바야흐로 생성형 AI와 클라우드가 업무 혁신의 중심이 된 지금, 무조건 꽁꽁 잠그기만 하는 망분리는 업무 효율성을 떨어뜨리는 걸림돌이 되기 시작했습니다. 보안을 챙기자니 혁신이 울고, 혁신을 도입하자니 보안이 우는 진퇴양난의 상황 속에서 국가정보원이 「국가 사이버보안 기본지침」 개정을 추진하게 된 배경입니다.
2. N2SF의 등장: 핵심은 ‘정보 등급별 차등 보호’
새롭게 도입되는 국가망보안체계, 일명 N2SF의 철학은 명확합니다. 모든 정보를 똑같은 기준으로 획일식 통제를 하지 않겠다는 것입니다.
앞으로는 공공기관의 정보 자산을 중요도에 따라 세 가지 등급으로 쪼개어 관리하게 됩니다.
-
기밀 (Confidential) : 유출 시 국가 안보에 치명적인 정보
-
민감 (Sensitive) : 외부 유출을 막아야 하는 내부 데이터
-
공개 (Open) : 업무 효율과 혁신을 위해 활용할 수 있는 정보
이렇게 등급을 나눈 뒤 ▲접근 권한 ▲인증 ▲분리·격리 ▲통제 ▲데이터 ▲정보자산 등 총 6개 영역의 보안통제 항목을 정보 중요도에 맞춰 차등 적용합니다. 지킬 것은 더 철저하게 지키고, 활용할 수 있는 정보는 안전한 조건 안에서 유연하게 풀겠다는 세분화 전략입니다.
3. 생성형 AI와 클라우드 도입, '사전 검토'가 성패 가른다
이번 변화는 공공기관의 AI·클라우드 활용과도 직결됩니다. 업무 혁신을 위해 생성형 AI를 도입하거나 외부 서비스를 연동할 때는 반드시 다음 사항을 먼저 검토해야 합니다.
어떠한 등급의 정보가 시스템에 입력되는가?
입력된 데이터가 어디로 흘러가고 어떻게 전달되는가?
이 흐름 속에서 데이터에 접근할 수 있는 권한은 누구에게 있는가?
이에 발맞추어 한국인터넷진흥원(KISA) 역시 국가·공공기관의 성공적인 N2SF 도입 지원 사업을 추진하며, 업무 효율성과 사이버 보안 수준을 동시에 끌어올릴 수 있는 가이드라인을 제시하고 있습니다.
4. "망을 나눴는가?" 대신 "데이터를 어떻게 통제하는가?"
이번 지침 개정에는 보안 운영 기준을 한층 더 구체화하는 내용도 대거 포함되었습니다. 단순히 인터넷선을 뽑아놨다고 안심하는 시대는 끝났다는 의미입니다.
앞으로는 다중 인증(MFA), 통합 인증 체계 구축, 그리고 단말 위협 탐지 및 대응(EDR) 솔루션 확대가 공공 보안의 기본 스펙으로 자리 잡을 전망입니다.
이제 공공기관 및 관련 기업의 보안 평가는 "망분리 시스템이 구축되어 있는가"가 아니라, "정보 등급을 어떻게 나누고, 데이터의 흐름과 접근 권한을 어떻게 스마트하게 통제하는가"로 결정됩니다.
🎯 시큐러스가 제안하는 패러다임 시프트 대응 전략
보안 체계의 판도가 바뀔 때 가장 중요한 것은 '첫 단추를 잘 꿰는 것'입니다. AI와 클라우드 도입을 검토 중인 조직이라면, 지금 당장 우리 조직의 데이터가 어디서 어떻게 흐르고 있는지 제로베이스에서 점검해야 할 시점입니다.
보안컨설팅 전문회사 시큐러스는 변화하는 N2SF 가이드라인에 최적화된 맞춤형 컨설팅 서비스를 제공합니다.
-
우리 조직에 맞는 체계적인 정보 등급(C·S·O) 분류 가이드 제공
-
N2SF 6대 보안통제 영역별 맞춤형 아키텍처 설계
-
다중 인증(MFA) 및 EDR 도입을 위한 최적의 기술 컨설팅
복잡해진 규제 속에서 길을 잃지 마세요. 시큐러스가 여러분의 조직이 가장 안전하면서도 가장 효율적으로 혁신할 수 있도록 든든한 나침반이 되어 드리겠습니다.
-
컨설팅 및 뉴스레터 구독 문의 : 시큐러스 (info@securus.com)
-
본 게시물은 시큐러스 보안전략연구소의 최신 동향 분석 자료를 토대로 작성되었습니다. 수집된 정보의 무단 전재 및 배포를 금합니다.