공공기관 망분리 20년 룰이 바뀐다, 생성형 AI까지 조건부 허용하는 N2SF 시행

망분리의 20년 룰을 그냥 없애는 게 아니라, 더 잘게 쪼개는 방향임

• 국정원과 KISA가 국가 망 보안체계(N2SF)를 이달부터 시행함

  • N2SF는 데이터 중요도에 따라 보안 수준을 차등 적용하는 체계임
  • KISA는 지난 4월 실제 정부기관 업무 환경을 실증한 결과를 담은 사례집도 발행함

• 기존 공공기관 보안의 기본값은 20년 가까이 물리적 망분리였음

  • 업무용 PC를 인터넷과 물리적으로 단절된 내부망에 묶어두는 방식임
  • 사이버 침해를 막는 데는 효과가 있었지만, 클라우드와 AI를 쓰는 디지털 전환 시대에는 업무 효율을 크게 깎아먹는다는 지적이 계속 나왔음

• 정부가 강조하는 포인트는 “망 통합”이 아니라 “위험도 기반 차등 통제”임

  • 국가 안보나 기밀과 연결된 정보는 여전히 강한 물리적·논리적 분리 상태를 유지함
  • 대신 서비스별 위험도를 평가해서 보안 가중치를 다르게 주겠다는 접근임
  • 즉, 전부 막는 방식에서 “무엇을 어디까지 열 수 있나”를 더 촘촘히 따지는 방식으로 바뀌는 셈임

핵심은 C/S/O 등급과 제로 트러스트

• N2SF의 정보 등급은 크게 C, S, O로 나뉨

  • C등급(Classified)은 국방, 외교, 수사, 국민 생명·안전과 직결된 비공개 정보임
  • S등급(Sensitive)은 개인정보, 감사, 인사 관련 비공개 정보처럼 민감하지만 최고 기밀은 아닌 정보임
  • O등급(Open)은 공개 가능한 일반 정보나 비식별 처리된 정보임

• 등급이 다른 주체와 객체가 만날 때는 별도 연계 통제가 들어감

  • 예를 들어 S등급 단말이 O등급 외부 서비스에 접속하면, 민감 정보가 외부로 새지 않도록 구간별 차단 기술을 적용함
  • 단순히 “외부 서비스니까 금지”가 아니라, 어떤 데이터가 어떤 경로로 움직이는지를 보고 통제하는 구조임

• N2SF는 정보서비스 모델 11종을 제시함

  • 서비스 유형과 정보 등급 조합별로 필요한 보안 통제 항목을 구체화함
  • “전면 차단”이나 “전면 허용”이 아니라, 서비스 조합별 가이드를 주겠다는 게 핵심임
  • 내부망에 있더라도 모든 접근을 계속 인증·검증하는 제로 트러스트(Zero Trust) 원칙도 들어감

sequenceDiagram
    participant 사용자
    participant 업무단말
    participant 보안통제
    participant 외부AI서비스
    participant 내부문서
    사용자->>업무단말: 생성형 AI 업무 활용 요청
    업무단말->>보안통제: 정보 등급과 서비스 위험도 확인
    보안통제->>외부AI서비스: 허용 범위 내 질의 전달
    외부AI서비스-->>보안통제: 결과 반환
    보안통제->>보안통제: DLP와 세션 정책 검사
    보안통제-->>내부문서: 저장 가능 여부 판단

생성형 AI도 “무조건 금지”에서 “조건부 허용”으로 이동함

• 가장 눈에 띄는 모델은 업무환경에서 생성형 AI를 활용하는 시나리오임
  • 챗GPT 같은 외부 생성형 AI 서비스를 업무 효율 향상 목적으로 쓰는 상황을 다룸
  • 단순 질의는 별도 기술적 조치 없이도 가능하다고 봄
  • 하지만 업무 정보를 AI에 넣거나 결과물을 업무 문서로 저장하려면 보안 통제가 붙음

• 실증 과정에서는 꽤 구체적인 통제 방식이 나옴
  • 다중요소인증(MFA)을 의무화해 OTP, 모바일 인증, 생체인증 같은 추가 인증을 적용함
  • 계정 하나가 탈취되더라도 내부 침투로 바로 이어지지 않게 설계하는 방식임
  • 아이덴티티·인증·접근 관리(ICAM), 세션 타임아웃, 유료 계정 기반 접속 관리 같은 구현 방안도 제시됨

온AI 모바일은 공공 업무 방식까지 건드림

• 정부는 N2SF 시행 흐름에 맞춰 지능형 업무 플랫폼 온AI의 모바일 서비스를 4월 30일 정식 개시함

  • 온AI는 메일, 메신저, 드라이브 같은 민간 클라우드와 AI 기술을 행정 업무에 활용하도록 2025년에 구축된 플랫폼임
  • 업무망 기반 대화형 AI 서비스인 AI 행정지원, 업무공간, 민간 SaaS 기반 소통협업도구 등을 제공함

• 온AI 모바일은 업무망 PC에서만 쓰던 서비스를 개인 스마트폰에서도 쓰게 하는 게 목표임

  • 외부에서도 실시간 보고 체계를 만들고, 긴급 화상회의 참여까지 가능하게 하겠다는 방향임
  • 정부는 모바일 신분증 기반 인증, 캡처 방지, 파일 저장 제한으로 외부 유출 가능성을 낮췄다고 설명함

• 결론적으로 공공기관 업무 환경이 “보안 때문에 못 함”에서 “보안 조건 맞추면 할 수 있음”으로 이동하는 중임

  • 개발자 입장에서는 공공 SaaS, GovTech, AI 업무도구를 만들 때 N2SF가 사실상 체크리스트처럼 작동할 가능성이 큼
  • 특히 생성형 AI, 모바일 업무, 민간 클라우드 연동을 노리는 서비스라면 등급 분류와 접근 통제 설계를 초반부터 넣어야 함

기술 맥락

• N2SF가 중요한 이유는 공공 보안의 기본 질문이 바뀌기 때문이에요. 예전에는 “인터넷과 분리됐나”가 출발점이었다면, 이제는 “이 데이터가 어떤 등급이고 어떤 서비스로 이동하나”를 먼저 따져요.

• 생성형 AI를 조건부로 여는 것도 같은 맥락이에요. 업무 생산성을 포기하지 않으려면 AI를 완전히 막기 어렵고, 그렇다고 민감 정보를 외부 서비스에 그냥 흘려보낼 수도 없거든요. 그래서 DLP, 망연계, MFA 같은 통제가 붙어요.

• 제로 트러스트가 들어간 이유는 내부망이라는 위치만으로 신뢰하기 어려워졌기 때문이에요. 계정 탈취, 세션 악용, 외부 SaaS 연동이 모두 현실적인 위협이라서 사용자, 단말, 세션을 계속 확인하는 구조가 필요해요.

• 개발팀 관점에서는 이 변화가 꽤 실무적이에요. 공공기관용 클라우드나 AI 서비스를 만들 때 나중에 보안 심사에서 덧붙이는 수준이 아니라, 처음부터 정보 등급, 저장 제한, 인증, 감사 로그 흐름을 제품 설계에 넣어야 하거든요.