본문으로 건너뛰기
J
피드

공공 망분리, 드디어 ‘무조건 차단’에서 위험 기반 보안으로 움직인다

security 약 10분
tags
#cloud#saas#ai#security#aes
vote
0
댓글
북마크
원문 보기

국가정보원이 국가사이버안보기본지침을 개정하면서 공공기관 보안정책이 기존 망분리 중심에서 정보 등급과 위험 기반 통제로 이동하기 시작했다. 공개등급 업무는 클라우드와 인터넷 기반 서비스 활용 가능성이 커졌고, 상용 소프트웨어 공급망 보안, AI 보안, AES 허용 흐름까지 같이 정비되는 분위기다.

  • 1

    공공 보안정책이 내부망과 인터넷망을 무조건 나누는 방식에서 정보 중요도 기반 통제로 이동함

  • 2

    공개등급 정보는 보안통제를 전제로 클라우드와 외부 인터넷 환경에서 처리할 여지가 생김

  • 3

    상용 소프트웨어 취약점 대응, AI 시스템 보안, AES 기반 암호정책 변화가 지침에 포함됨

  • 4

    제도는 바뀌었지만 현장에서는 등급분류 책임과 후속 기준 명확성이 핵심 변수로 남음

공공 보안정책이 방향을 틀기 시작함

  • 국가정보원이 5월 1일 개정한 국가사이버안보기본지침의 핵심은 “무조건 망분리”에서 “정보 등급별 통제”로 옮겨가는 흐름임

    • 기존 공공기관 보안은 내부 업무망과 인터넷망을 나누는 방식이 거의 기본값이었음
    • 새 지침은 국가 망 보안체계(N2SF)를 반영해 업무정보를 기밀등급, 민감등급, 공개등급으로 나누도록 함
    • 정보가 어느 망에 있느냐보다 어떤 정보이고 어떤 통제가 붙었느냐를 더 중요하게 보겠다는 얘기임

  • 이 변화가 큰 이유는 공공기관의 클라우드, 인공지능(AI), 서비스형 소프트웨어(SaaS), 원격 협업 도입과 바로 연결되기 때문임

    • 그동안 공공기관은 인터넷 기반 협업 도구나 최신 개발환경을 쓰기 어려웠음
    • 자료 하나 옮기는 데도 복잡한 절차가 필요했고, 클라우드 도입도 제약이 컸음
    • 민간은 AI 자동화와 SaaS로 생산성을 올리는데 공공은 규정 때문에 발목 잡히는 상황이 계속됐음

중요

> 이번 개정은 보안을 느슨하게 하자는 얘기가 아님. 중요한 정보는 더 강하게 보호하고, 공개 가능한 업무는 굳이 내부망에 가둬두지 말자는 쪽에 가까움.

정보 등급이 핵심 기준이 됨

  • 새 체계는 공공기관 업무정보를 크게 세 단계로 나눔

    • 기밀등급은 국가안보, 비밀, 대외비, 고도의 비공개 정보처럼 유출되면 치명적인 정보가 대상임
    • 민감등급은 개인정보, 내부 검토자료, 의사결정 과정 자료처럼 공개 시 기관 업무에 영향을 줄 수 있는 정보가 들어갈 수 있음
    • 공개등급은 일반 공개자료, 공개 가능한 행정정보, 대국민 자료처럼 외부 공개가 가능한 정보임

  • 핵심은 “내부망이면 안전, 인터넷망이면 위험”이라는 단순 구분에서 벗어났다는 점임

    • 같은 공공기관 안에서도 국가안보 자료와 공개 보도자료를 같은 수준으로 묶는 건 비효율적임
    • 새 지침은 업무 기능을 세분화해 정보등급을 식별하고, 등급에 맞는 시스템과 보안통제를 적용하도록 함
    • 원칙적으로 정보는 같은 등급 또는 더 높은 등급의 정보시스템에서 처리해야 하지만, 통제 기준을 충족하면 예외도 가능함

  • 문제는 현장의 등급분류 부담임

    • 담당자가 사고 책임을 걱정해 대부분의 정보를 민감등급 이상으로 올려버리면, 제도는 바뀌어도 실제 업무는 그대로임
    • 반대로 너무 낮은 등급을 주면 보안사고 위험이 커짐
    • 그래서 등급분류 기준과 책임 범위를 구체적으로 못 박는 후속 조치가 중요함

공개등급 업무는 클라우드 활용 길이 열림

  • 공개등급 도메인은 기관 내부망뿐 아니라 외부 정보통신망과 클라우드컴퓨팅 영역까지 포함할 수 있게 됨

    • 공개 행정자료, 공공데이터, 대국민 홍보자료, 공개용 홈페이지 운영 같은 업무가 더 유연해질 수 있음
    • 모든 업무를 내부망 중심으로 처리하던 방식에서 벗어나, 공개 가능한 업무부터 클라우드와 SaaS를 붙일 여지가 생긴 셈임

  • 물론 아무 클라우드나 마음대로 쓰라는 뜻은 아님

    • 지침은 클라우드컴퓨팅 서비스 도입 가능 목록 제도를 둠
    • 민간 클라우드를 쓰려면 국가 클라우드 보안기준을 충족하고, 도입 가능 목록에 올라간 서비스를 이용해야 함
    • 데이터의 국내 저장과 관리, 국내 인력에 의한 관리, 보안관제와 사고조사 환경, 물리적·논리적 분리 같은 조건이 검토 대상임

  • 목록제는 보안상 필요하지만, 운영이 느리면 새 병목이 될 수 있음

    • 클라우드와 SaaS는 기능 변화가 빠른데 등재와 확인 절차가 늦으면 공공기관은 최신 서비스를 놓치게 됨
    • 민간 사업자 입장에서도 공공시장 진입 비용이 커질 수 있음
    • 보안검증은 필요하지만 검증 과정이 혁신을 막는 또 다른 규제가 되면 곤란함

상용 소프트웨어와 AI 보안도 지침 안으로 들어옴

  • 상용 소프트웨어 도입 때 공급망 보안 책임을 더 명확히 하려는 내용도 포함됨

    • 공공기관은 판매 중지 여부를 확인하고, 취약점 발견 시 제조사나 판매사에 시정조치를 요구할 수 있게 계약에 반영해야 함
    • 제조사와 공급업체는 취약점 확인 시 기술지원을 제공하는 구조를 갖춰야 함
    • 구매할 때만 보안 확인하고 끝내는 방식으로는 공급망 공격에 대응하기 어렵다는 현실을 반영한 조치임

  • AI 시스템 보안 조항도 들어갔지만 아직은 원칙 수준에 가까움

    • 각급기관은 AI 시스템을 구축하거나 운영할 때 보안대책을 수립해야 함
    • 실제 현장에서는 학습데이터 보호, 민감정보 입력 차단, 모델 오남용 방지, 외부 AI 서비스 연동 기준, 프롬프트 인젝션 대응 같은 세부 기준이 필요함
    • AI 보안은 방화벽과 접근통제만으로 해결되지 않고, 사용자가 무엇을 입력하고 모델이 무엇을 출력하는지까지 봐야 함

⚠️주의

> 공공기관이 AI를 쓰기 시작하면 민감정보 입력, 외부 모델 연동, 프롬프트 인젝션 같은 문제가 바로 튀어나옴. “AI 시스템 보안대책 수립”이라는 문장만으로는 현장이 버티기 어렵다.

암호정책도 국제 표준 쪽으로 열리는 중

  • 새 지침은 비밀이 아닌 업무자료를 암호화할 때 국가정보원장이 개발하거나 안전성을 확인한 암호알고리즘을 쓰도록 규정함

    • 기관이 자체 암호알고리즘을 개발하거나 쓰려면 국정원 안전성 확인과 승인이 필요함
    • 비밀자료 보호용 암호자재 체계와 일반 업무자료 보호용 암호알고리즘 체계를 구분하려는 취지로 볼 수 있음

  • 이 변화는 AES 허용 흐름과도 맞물림

    • 국정원은 2024년 9월 사이버 서밋 코리아에서 공공분야 암호모듈검증제도(KCMVP)에 국제표준암호 AES를 2026년 1월부터 허용하겠다고 발표했음
    • 기존 공공 암호정책은 시드(SEED), 아리아(ARIA), 하이트(HIGHT), 리아(LEA) 등 국내 개발 암호 중심으로 운영돼 왔음
    • 글로벌 클라우드와 상용 보안제품은 AES 기반이 많아서, 공공 특수 요건 때문에 제품 수정과 별도 검증이 필요했던 경우가 많았음

  • 그래도 AES 제품이 곧바로 자유롭게 들어오는 건 아님

    • AES 탑재 암호모듈도 국정원 검증을 받아야 하고 구현 안전성과 도입요건을 충족해야 함
    • 핵심은 검증 체계를 없애는 게 아니라, 그 안에서 국제 표준 암호 활용 가능성을 넓히는 쪽임
    • 실제 효과는 AES 적용 범위, 검증필 암호모듈 요건, 업무정보 등급별 적용 기준이 얼마나 명확해지느냐에 달림

이제 남은 건 실행 기준임

  • 이번 지침은 공공 보안정책이 현실을 인정하기 시작했다는 점에서 의미가 큼

    • 모든 업무를 내부망에 가둬서는 클라우드, AI, 데이터 기반 행정을 감당하기 어려움
    • 위험이 낮은 공개 업무는 더 유연하게 처리하고, 중요한 정보는 더 강한 통제를 붙이는 방식이 합리적임

  • 하지만 현장에서는 책임 문제가 제일 큼

    • 공개등급으로 분류하면 클라우드 활용이 쉬워질 수 있지만, 사고가 나면 왜 낮게 분류했느냐는 추궁을 받을 수 있음
    • 모든 정보를 민감등급 이상으로 올리면 담당자는 편하지만, 제도 개선의 의미는 사라짐
    • 결국 정부가 등급분류 기준, 보안통제 항목, 클라우드 목록 운영, AI 보안 기준, 사고 책임 기준을 얼마나 구체적으로 내놓느냐가 성패를 가를 가능성이 큼

기술 맥락

  • 이번 지침의 가장 큰 선택은 망의 위치보다 정보의 성격을 기준으로 삼겠다는 거예요. 예전에는 내부망과 인터넷망을 나누면 어느 정도 설명이 됐지만, 클라우드와 SaaS를 쓰는 환경에서는 그 구분만으로 업무 효율과 보안을 같이 잡기 어렵거든요.

  • N2SF가 중요한 이유는 공개등급 업무에 숨통을 틔워주기 때문이에요. 대국민 공개자료나 공공데이터까지 내부망 안에서만 처리하면 협업 도구, 자동화, 클라우드 배포가 전부 느려져요. 그래서 공개 가능한 정보부터 외부망과 클라우드에서 다룰 수 있게 하는 구조가 필요해요.

  • 대신 이 방식은 기관의 판단 역량에 크게 기대요. 정보등급을 잘못 낮추면 사고 위험이 커지고, 너무 높게 잡으면 기존 망분리와 다를 게 없어져요. 그래서 기술보다 어려운 부분이 등급분류 기준과 책임 설계예요.

  • AES 허용 흐름도 같은 맥락이에요. 글로벌 클라우드와 상용 제품은 AES를 기본으로 쓰는 경우가 많아서, 국내 공공 요건과 안 맞으면 도입 비용과 일정이 커져요. 국제 표준을 검증 체계 안으로 받아들이면 보안을 버리지 않으면서 호환성을 높일 수 있어요.

  • AI 보안은 앞으로 더 까다로워질 가능성이 커요. AI 시스템은 네트워크 접근통제만으로 끝나지 않고, 입력 데이터와 출력 결과, 외부 모델 연동까지 봐야 하거든요. 이번 지침은 출발점이고, 현장에서는 프롬프트 인젝션이나 민감정보 입력 차단 같은 구체 기준이 곧 필요해질 거예요.

국내 공공 프로젝트를 해본 개발자라면 이 변화가 왜 큰지 바로 감이 올 거다. 다만 지침 문구보다 중요한 건 현장 담당자가 책임 부담 없이 실제로 공개등급과 클라우드 사용을 선택할 수 있느냐임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

모바일 신분증에 AI 붙이는 해커톤 열린다

한국디지털인증협회가 모바일 신분증을 활용한 AI·블록체인 서비스 아이디어를 찾는 해커톤을 연다. 상금은 총 3000만원 규모고, 입상팀에는 최대 10억원 규모의 창업 지원 기회까지 붙는다.

security

쿤텍, 공급망 보안 플랫폼 이지즈 3.0 출시…SBOM에서 AI-BOM까지 확장

쿤텍이 소프트웨어 공급망 보안 플랫폼 이지즈 3.0을 내놨다. 기존 오픈소스 관리 중심에서 벗어나 SBOM, 레파지토리 관리, 바이너리 분석, AI-BOM까지 한 화면에서 다루는 쪽으로 확장한 게 핵심이다. AI 도입이 늘면서 모델 구성 요소와 변경 이력까지 보안 관리 대상에 들어왔다는 흐름을 보여준다.

security

미국 공공 건강보험 사이트, 시민권·인종 정보까지 광고 추적기에 흘렸다

미국 주정부 건강보험 마켓플레이스 20곳 대부분이 신청자 정보를 구글, 링크드인, 메타, 스냅 같은 광고·기술 기업과 공유한 정황이 나왔다. 픽셀 추적기가 의료·인종·성별·연락처 같은 민감 정보를 잘못 수집하면서, 정부 웹사이트의 추적 코드 관리가 얼마나 위험한지 보여준 사례다.

security

쿤텍, AI-BOM 넣은 공급망 보안 플랫폼 ‘이지즈 3.0’ 출시

쿤텍이 소프트웨어 공급망 보안 플랫폼 이지즈 3.0을 출시했다. 기존 오픈소스 관리 중심 보안을 넘어, SDLC 전반의 리스크를 SBOM, 저장소 관리, 바이너리 분석으로 통합 관리하는 구조다. 새 기능인 AI-BOM은 AI 모델을 구성하는 데이터, 라이브러리, 모델 구조의 출처와 변경 이력까지 추적하는 데 초점을 둔다.

security

성인·불법 사이트 차단, 핵심은 클라우드플레어와 인프라 통제

최근 국내 일부 불법 만화 사이트, 해외 도박 사이트, 성인물 사이트 접속 차단이 체감되면서 인터넷 규제 방식 변화가 주목받고 있어. 단순히 사이트 주소를 막는 수준이 아니라 CDN, DNS 같은 인프라 사업자를 통해 우회 접속까지 묶는 방향으로 움직이고 있다는 분석이야.