본문으로 건너뛰기
J
피드

공공 망분리, 드디어 ‘무조건 차단’에서 위험 기반 보안으로 움직인다

security 약 10분
tags
#cloud#saas#ai#security#aes
vote
0
댓글
북마크

국가정보원이 국가사이버안보기본지침을 개정하면서 공공기관 보안정책이 기존 망분리 중심에서 정보 등급과 위험 기반 통제로 이동하기 시작했다. 공개등급 업무는 클라우드와 인터넷 기반 서비스 활용 가능성이 커졌고, 상용 소프트웨어 공급망 보안, AI 보안, AES 허용 흐름까지 같이 정비되는 분위기다.

  • 1

    공공 보안정책이 내부망과 인터넷망을 무조건 나누는 방식에서 정보 중요도 기반 통제로 이동함

  • 2

    공개등급 정보는 보안통제를 전제로 클라우드와 외부 인터넷 환경에서 처리할 여지가 생김

  • 3

    상용 소프트웨어 취약점 대응, AI 시스템 보안, AES 기반 암호정책 변화가 지침에 포함됨

  • 4

    제도는 바뀌었지만 현장에서는 등급분류 책임과 후속 기준 명확성이 핵심 변수로 남음

공공 보안정책이 방향을 틀기 시작함

  • 국가정보원이 5월 1일 개정한 국가사이버안보기본지침의 핵심은 “무조건 망분리”에서 “정보 등급별 통제”로 옮겨가는 흐름임

    • 기존 공공기관 보안은 내부 업무망과 인터넷망을 나누는 방식이 거의 기본값이었음
    • 새 지침은 국가 망 보안체계(N2SF)를 반영해 업무정보를 기밀등급, 민감등급, 공개등급으로 나누도록 함
    • 정보가 어느 망에 있느냐보다 어떤 정보이고 어떤 통제가 붙었느냐를 더 중요하게 보겠다는 얘기임

  • 이 변화가 큰 이유는 공공기관의 클라우드, 인공지능(AI), 서비스형 소프트웨어(SaaS), 원격 협업 도입과 바로 연결되기 때문임

    • 그동안 공공기관은 인터넷 기반 협업 도구나 최신 개발환경을 쓰기 어려웠음
    • 자료 하나 옮기는 데도 복잡한 절차가 필요했고, 클라우드 도입도 제약이 컸음
    • 민간은 AI 자동화와 SaaS로 생산성을 올리는데 공공은 규정 때문에 발목 잡히는 상황이 계속됐음

중요

> 이번 개정은 보안을 느슨하게 하자는 얘기가 아님. 중요한 정보는 더 강하게 보호하고, 공개 가능한 업무는 굳이 내부망에 가둬두지 말자는 쪽에 가까움.

정보 등급이 핵심 기준이 됨

  • 새 체계는 공공기관 업무정보를 크게 세 단계로 나눔

    • 기밀등급은 국가안보, 비밀, 대외비, 고도의 비공개 정보처럼 유출되면 치명적인 정보가 대상임
    • 민감등급은 개인정보, 내부 검토자료, 의사결정 과정 자료처럼 공개 시 기관 업무에 영향을 줄 수 있는 정보가 들어갈 수 있음
    • 공개등급은 일반 공개자료, 공개 가능한 행정정보, 대국민 자료처럼 외부 공개가 가능한 정보임

  • 핵심은 “내부망이면 안전, 인터넷망이면 위험”이라는 단순 구분에서 벗어났다는 점임

    • 같은 공공기관 안에서도 국가안보 자료와 공개 보도자료를 같은 수준으로 묶는 건 비효율적임
    • 새 지침은 업무 기능을 세분화해 정보등급을 식별하고, 등급에 맞는 시스템과 보안통제를 적용하도록 함
    • 원칙적으로 정보는 같은 등급 또는 더 높은 등급의 정보시스템에서 처리해야 하지만, 통제 기준을 충족하면 예외도 가능함

  • 문제는 현장의 등급분류 부담임

    • 담당자가 사고 책임을 걱정해 대부분의 정보를 민감등급 이상으로 올려버리면, 제도는 바뀌어도 실제 업무는 그대로임
    • 반대로 너무 낮은 등급을 주면 보안사고 위험이 커짐
    • 그래서 등급분류 기준과 책임 범위를 구체적으로 못 박는 후속 조치가 중요함

공개등급 업무는 클라우드 활용 길이 열림

  • 공개등급 도메인은 기관 내부망뿐 아니라 외부 정보통신망과 클라우드컴퓨팅 영역까지 포함할 수 있게 됨

    • 공개 행정자료, 공공데이터, 대국민 홍보자료, 공개용 홈페이지 운영 같은 업무가 더 유연해질 수 있음
    • 모든 업무를 내부망 중심으로 처리하던 방식에서 벗어나, 공개 가능한 업무부터 클라우드와 SaaS를 붙일 여지가 생긴 셈임

  • 물론 아무 클라우드나 마음대로 쓰라는 뜻은 아님

    • 지침은 클라우드컴퓨팅 서비스 도입 가능 목록 제도를 둠
    • 민간 클라우드를 쓰려면 국가 클라우드 보안기준을 충족하고, 도입 가능 목록에 올라간 서비스를 이용해야 함
    • 데이터의 국내 저장과 관리, 국내 인력에 의한 관리, 보안관제와 사고조사 환경, 물리적·논리적 분리 같은 조건이 검토 대상임

  • 목록제는 보안상 필요하지만, 운영이 느리면 새 병목이 될 수 있음

    • 클라우드와 SaaS는 기능 변화가 빠른데 등재와 확인 절차가 늦으면 공공기관은 최신 서비스를 놓치게 됨
    • 민간 사업자 입장에서도 공공시장 진입 비용이 커질 수 있음
    • 보안검증은 필요하지만 검증 과정이 혁신을 막는 또 다른 규제가 되면 곤란함

상용 소프트웨어와 AI 보안도 지침 안으로 들어옴

  • 상용 소프트웨어 도입 때 공급망 보안 책임을 더 명확히 하려는 내용도 포함됨

    • 공공기관은 판매 중지 여부를 확인하고, 취약점 발견 시 제조사나 판매사에 시정조치를 요구할 수 있게 계약에 반영해야 함
    • 제조사와 공급업체는 취약점 확인 시 기술지원을 제공하는 구조를 갖춰야 함
    • 구매할 때만 보안 확인하고 끝내는 방식으로는 공급망 공격에 대응하기 어렵다는 현실을 반영한 조치임

  • AI 시스템 보안 조항도 들어갔지만 아직은 원칙 수준에 가까움

    • 각급기관은 AI 시스템을 구축하거나 운영할 때 보안대책을 수립해야 함
    • 실제 현장에서는 학습데이터 보호, 민감정보 입력 차단, 모델 오남용 방지, 외부 AI 서비스 연동 기준, 프롬프트 인젝션 대응 같은 세부 기준이 필요함
    • AI 보안은 방화벽과 접근통제만으로 해결되지 않고, 사용자가 무엇을 입력하고 모델이 무엇을 출력하는지까지 봐야 함

⚠️주의

> 공공기관이 AI를 쓰기 시작하면 민감정보 입력, 외부 모델 연동, 프롬프트 인젝션 같은 문제가 바로 튀어나옴. “AI 시스템 보안대책 수립”이라는 문장만으로는 현장이 버티기 어렵다.

암호정책도 국제 표준 쪽으로 열리는 중

  • 새 지침은 비밀이 아닌 업무자료를 암호화할 때 국가정보원장이 개발하거나 안전성을 확인한 암호알고리즘을 쓰도록 규정함

    • 기관이 자체 암호알고리즘을 개발하거나 쓰려면 국정원 안전성 확인과 승인이 필요함
    • 비밀자료 보호용 암호자재 체계와 일반 업무자료 보호용 암호알고리즘 체계를 구분하려는 취지로 볼 수 있음

  • 이 변화는 AES 허용 흐름과도 맞물림

    • 국정원은 2024년 9월 사이버 서밋 코리아에서 공공분야 암호모듈검증제도(KCMVP)에 국제표준암호 AES를 2026년 1월부터 허용하겠다고 발표했음
    • 기존 공공 암호정책은 시드(SEED), 아리아(ARIA), 하이트(HIGHT), 리아(LEA) 등 국내 개발 암호 중심으로 운영돼 왔음
    • 글로벌 클라우드와 상용 보안제품은 AES 기반이 많아서, 공공 특수 요건 때문에 제품 수정과 별도 검증이 필요했던 경우가 많았음

  • 그래도 AES 제품이 곧바로 자유롭게 들어오는 건 아님

    • AES 탑재 암호모듈도 국정원 검증을 받아야 하고 구현 안전성과 도입요건을 충족해야 함
    • 핵심은 검증 체계를 없애는 게 아니라, 그 안에서 국제 표준 암호 활용 가능성을 넓히는 쪽임
    • 실제 효과는 AES 적용 범위, 검증필 암호모듈 요건, 업무정보 등급별 적용 기준이 얼마나 명확해지느냐에 달림

이제 남은 건 실행 기준임

  • 이번 지침은 공공 보안정책이 현실을 인정하기 시작했다는 점에서 의미가 큼

    • 모든 업무를 내부망에 가둬서는 클라우드, AI, 데이터 기반 행정을 감당하기 어려움
    • 위험이 낮은 공개 업무는 더 유연하게 처리하고, 중요한 정보는 더 강한 통제를 붙이는 방식이 합리적임

  • 하지만 현장에서는 책임 문제가 제일 큼

    • 공개등급으로 분류하면 클라우드 활용이 쉬워질 수 있지만, 사고가 나면 왜 낮게 분류했느냐는 추궁을 받을 수 있음
    • 모든 정보를 민감등급 이상으로 올리면 담당자는 편하지만, 제도 개선의 의미는 사라짐
    • 결국 정부가 등급분류 기준, 보안통제 항목, 클라우드 목록 운영, AI 보안 기준, 사고 책임 기준을 얼마나 구체적으로 내놓느냐가 성패를 가를 가능성이 큼

기술 맥락

  • 이번 지침의 가장 큰 선택은 망의 위치보다 정보의 성격을 기준으로 삼겠다는 거예요. 예전에는 내부망과 인터넷망을 나누면 어느 정도 설명이 됐지만, 클라우드와 SaaS를 쓰는 환경에서는 그 구분만으로 업무 효율과 보안을 같이 잡기 어렵거든요.

  • N2SF가 중요한 이유는 공개등급 업무에 숨통을 틔워주기 때문이에요. 대국민 공개자료나 공공데이터까지 내부망 안에서만 처리하면 협업 도구, 자동화, 클라우드 배포가 전부 느려져요. 그래서 공개 가능한 정보부터 외부망과 클라우드에서 다룰 수 있게 하는 구조가 필요해요.

  • 대신 이 방식은 기관의 판단 역량에 크게 기대요. 정보등급을 잘못 낮추면 사고 위험이 커지고, 너무 높게 잡으면 기존 망분리와 다를 게 없어져요. 그래서 기술보다 어려운 부분이 등급분류 기준과 책임 설계예요.

  • AES 허용 흐름도 같은 맥락이에요. 글로벌 클라우드와 상용 제품은 AES를 기본으로 쓰는 경우가 많아서, 국내 공공 요건과 안 맞으면 도입 비용과 일정이 커져요. 국제 표준을 검증 체계 안으로 받아들이면 보안을 버리지 않으면서 호환성을 높일 수 있어요.

  • AI 보안은 앞으로 더 까다로워질 가능성이 커요. AI 시스템은 네트워크 접근통제만으로 끝나지 않고, 입력 데이터와 출력 결과, 외부 모델 연동까지 봐야 하거든요. 이번 지침은 출발점이고, 현장에서는 프롬프트 인젝션이나 민감정보 입력 차단 같은 구체 기준이 곧 필요해질 거예요.

국내 공공 프로젝트를 해본 개발자라면 이 변화가 왜 큰지 바로 감이 올 거다. 다만 지침 문구보다 중요한 건 현장 담당자가 책임 부담 없이 실제로 공개등급과 클라우드 사용을 선택할 수 있느냐임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

엑스게이트, 양자보안·AI 방화벽으로 VPN 이후 먹거리 찾는다

국내 VPN 시장 1위 사업자인 엑스게이트가 기존 VPN·방화벽 사업을 기반으로 양자보안과 AI 차세대 방화벽을 성장축으로 삼겠다고 밝혔다. QRNG와 PQC를 결합한 AX-Quantum 플랫폼, 국방 시범사업, LLM 기반 자연어 보안장비 제어가 주요 포인트다.

security

에이씨앤티시스템·센스톤, 수처리 OT 보안에 단방향 동적 인증 붙인다

에이씨앤티시스템과 센스톤이 OT 보안 솔루션 공동 개발을 위한 업무협약을 맺었다. 센스톤의 OTAC 단방향 동적 인증 기술을 산업용 제어망 장비와 EtherFOS에 접목하고, 수처리 시설을 시작으로 반도체·에너지·플랜트 분야까지 확장하는 구상이다.

security

에버스핀, 웹 보안 게이트웨이에 양자내성암호 전송 보호 붙였다

에버스핀이 웹 보안 플랫폼 에버세이프 웹 클라우드 버전에 포스트 양자암호(PQC) 기반 전송구간 보호 기능을 넣었다. TLS 1.3 기반 하이브리드 키 교환 방식인 X25519MLKEM768을 활용해, 지금 훔쳐간 암호문을 나중에 양자컴퓨터로 푸는 수집 후 해독 위험까지 겨냥한다.

security

지캐시, 앤트로픽 AI 감사로 추가 중대 취약점은 못 찾았다고 발표

지캐시 창시자 주코 윌콕스가 앤트로픽 AI 모델을 활용한 추가 보안 감사 결과를 공개했다. 최근 오차드 풀에서 가짜 ZEC를 무한 생성할 수 있는 위조 취약점이 발견돼 수정된 뒤, 같은 맥락에서 추가 중대 취약점이 있는지 확인한 것이다.

security

티빙 개인정보 유출, 비밀번호보다 더 무서운 건 CI와 DI가 새었다는 점

티빙 개인정보 유출 사고를 두고 국내 플랫폼 보안의 취약함을 지적한 글이다. 특히 이름, 생년월일, 휴대전화번호, 비밀번호뿐 아니라 변경이 어려운 CI와 DI까지 유출됐다는 점에서 2차 피해 위험이 크다고 본다.