국정원, 공공 AI·클라우드 막던 데이터 등급 기준 손본다

• 국정원이 국가망보안체계(N2SF)의 데이터 분류 기준을 올해 말까지 더 구체화하기로 함

  • 지금 공공기관은 데이터를 기밀(C), 민감(S), 공개(O)로 나누고 있음
  • 문제는 실제 현장에서 “이 데이터가 S냐 O냐”를 판단할 세부 사례가 부족했다는 점임
  • 그래서 담당자나 기관마다 해석이 달라지고, 사고 나면 책임질까 봐 일단 더 높은 등급으로 묶는 일이 많았음

• 참고 모델은 미국 국립표준기술연구소(NIST)의 NIST SP 800-60임

  • 이 문서는 미국 연방정부 데이터를 행정, 재정, 보건, 국방, 인사 같은 업무 영역별로 쪼개서 분류함
  • 기밀성, 무결성, 가용성에 미치는 영향을 기준으로 보안 수준을 상·중·하 3단계로 나누는 방식임
  • 국정원이 이걸 보는 이유는 단순 원칙이 아니라 “현장에서 바로 적용 가능한 사례”가 많기 때문임

• 이번 가이드라인의 진짜 목표는 공공 데이터 활용을 막던 애매함을 줄이는 것임

  • 현재 N2SF 보안 가이드라인 1.0은 C를 법령상 비밀·비공개 정보, S를 공개 시 기관 업무나 개인·법인 이익을 침해할 수 있는 정보, O를 그 외 정보로 정의함
  • 정의 자체는 있지만, 구체적인 데이터 예시와 적용 기준이 부족해서 현장에선 재량 판단이 많이 들어갔음
  • 국정원은 담당자 재량을 줄이고 기관별 편차를 낮추는 방향으로 새 기준을 만들겠다는 입장임

• 기준이 명확해지면 공공 AI와 클라우드 도입에 직접 영향이 감

  • S·O 데이터 범위가 구체화되면 공공 AI 서비스에 어떤 데이터를 넣을 수 있는지 판단하기 쉬워짐
  • 서비스형 소프트웨어(SaaS) 활용도 지금보다 넓어질 가능성이 있음
  • 과도하게 C로 묶여 있던 데이터가 풀리면, 민간 클라우드나 AI 분석 환경으로 옮길 여지도 커짐

• 전문가 코멘트도 같은 방향임

  • 김창훈 대구대 교수는 분류 기준이 구체화되면 기관별 판단 편차를 줄일 수 있다고 봄
  • 더 나아가 자동화 도구 기반 데이터 분류 체계 구축도 가능해질 수 있다고 언급함
  • 결국 사람이 매번 회의해서 등급을 정하는 방식에서, 규칙과 도구가 도와주는 방식으로 넘어갈 수 있다는 얘기임

---

기술 맥락

• 이번 변화는 공공기관이 데이터를 어디까지 클라우드나 AI 시스템에 올릴 수 있는지 정하는 문제와 연결돼요. 기술적으로는 클라우드 이전이나 AI 도입인데, 실제 병목은 “이 데이터 등급이 뭔데?”에서 걸리는 경우가 많거든요.

• N2SF가 중요한 이유는 기존 망분리 중심 보안을 데이터 중심 보안으로 바꾸려는 시도이기 때문이에요. 모든 시스템을 같은 강도로 막으면 안전해 보이지만, 공개 가능 데이터까지 묶이면서 AI 학습, 검색, 분석, SaaS 도입이 같이 느려져요.

• NIST SP 800-60을 참고한다는 대목도 꽤 실무적이에요. 업무 영역별 데이터 유형과 보안 영향도를 같이 제시하면, 기관 담당자가 처음부터 판단 체계를 새로 만들 필요가 줄어들거든요.

• 개발자에게는 이게 배포 환경의 제약 변화로 이어질 수 있어요. 공공 프로젝트에서 민간 클라우드, SaaS, AI API를 쓰려면 데이터 등급과 처리 위치를 설명해야 하는데, 기준이 구체화되면 아키텍처 설계와 보안 검토가 조금 더 예측 가능해져요.