공공 망분리 20년 룰 바뀐다: 국정원 N2SF 시행에 보안업계 들썩

공공 보안의 중심이 ‘망’에서 ‘데이터’로 이동함

• 국정원이 이달 ‘국가 사이버보안 기본 지침’을 시행하면서 공공기관 보안 체계가 크게 바뀜

  • 2023년 1월 이후 3년 만의 대대적 정비임
  • 기존 ‘국가 정보보안 기본 지침’에서 이름도 ‘국가 사이버보안 기본 지침’으로 바뀜
  • 핵심은 국가 망 보안체계(N2SF·National Network Security Framework)를 명문화한 것임

• 가장 큰 변화는 약 20년간 공공기관의 기본값이던 물리적 망 분리 규제가 개편된다는 점임

  • 기존 방식은 업무망과 인터넷망을 무조건 분리하는 획일적 구조였음
  • N2SF는 데이터를 중요도에 따라 기밀(C·Classified), 민감(S·Sensitive), 공개(O·Open) 등급으로 나눠 차등 관리함
  • 기존 지침의 망 분리 조항은 삭제되고 N2SF가 그 자리를 대체함

• 이번 개편은 “보안을 약하게 하자”가 아니라 “데이터 성격에 맞게 다르게 막자”에 가까움
  • 공개 데이터까지 기밀 데이터처럼 묶어두면 행정 효율과 AI 활용이 막힘
  • 반대로 민감 데이터 분류가 허술하면 보안 공백이 생김
  • 그래서 데이터 식별과 등급 분류가 N2SF의 실질적인 승부처가 됨

의무 조항이 늘면서 공공기관 부담도 커짐

• 새 지침에는 예산과 인력 기준도 의무로 들어감

  • 정보화 예산 대비 보안 예산 15% 이상 확보가 포함됨
  • 정보화 인력 대비 보안 인력 10% 이상 확보도 의무화됨
  • 기존에는 ‘노력해야 한다’ 수준의 권고였지만, 이번에는 강도가 올라감

• 인증과 AI·클라우드 보안 대책도 명시됨

  • 원격 근무자와 정보 시스템 관리자 대상 다중 인증(MFA) 적용이 들어감
  • AI 시스템과 민간 클라우드 보안 대책도 새로 포함됨
  • 공공기관 입장에서는 클라우드와 AI를 쓰려면 보안 정책, 인증, 데이터 통제까지 같이 설계해야 하는 셈임

보안업계는 N2SF 수요 선점 경쟁에 들어감

• 파수(Fasoo)는 데이터 보안 제품군에 N2SF 대응 기능을 넣고 있음

  • ‘파수 엔터프라이즈 DRM(FED)’은 문서 생성 시점에 부여된 C/S/O 등급을 다운로드 이후에도 유지하도록 설계됨
  • 사용자가 AI 서비스에 문서를 업로드하거나 복사·붙여넣기를 시도할 때 등급에 따라 실시간 제어가 가능하다는 설명임
  • ‘파수 데이터 레이더(FDR)’ 신규 버전은 N2SF 기준으로 전사 데이터 현황을 파악하고 등급별 정책·암호화·레이블링을 적용할 수 있음

• 파수는 AI 사용 환경까지 엮어 포트폴리오를 짜는 중임

  • AI 환경의 민감 정보 관리 솔루션 ‘AI-R DLP’를 내세움
  • 화면 보안 솔루션 ‘파수 스마트 스크린(FSS)’에도 등급별 차등 통제 기능을 보탬
  • 공공기관이 생성형 AI를 쓰기 시작하면 문서 업로드, 화면 노출, 복사·붙여넣기 같은 평범한 행위가 전부 통제 포인트가 됨

• SGA솔루션즈는 제로 트러스트 기반 통합 보안 포트폴리오로 접근함

  • 풀스택 제로 트러스트 솔루션 ‘SGA ZTA’를 중심에 둠
  • 통합 계정·접근 관리 솔루션 ‘시큐어가드 아이캠(SecureGuard ICAM)’, 시스템 보안 솔루션 ‘레드캐슬(RedCastle)’을 엔드포인트·클라우드 보안과 연결함
  • 회사는 이를 N2SF 환경에 맞춘 엔드투엔드 라인업으로 보고 있음

• SGA솔루션즈는 공공 실증 레퍼런스도 강조함

  • 2023년부터 과기정통부와 KISA가 주관하는 제로 트러스트 실증사업의 주관사로 3년 연속 선정됨
  • 지난해에는 국가·공공기관 대상 국가망 보안체계 시범 실증 사업도 직접 주관함
  • 최영철 대표가 국정원 MLS TF 위원으로 활동해온 점도 강점으로 언급됨

결국 운영 역량이 성패를 가름

• 업계가 보는 N2SF의 핵심 리스크는 솔루션 설치가 아니라 운영임

  • 기관마다 업무 데이터의 성격과 중요도가 다르기 때문임
  • 데이터를 얼마나 정확히 식별하고 분류하느냐가 보안 수준을 좌우함
  • 같은 문서라도 공개 가능한 정보와 민감 정보가 섞여 있으면 자동 분류와 현장 판단이 같이 필요해짐

• 시장도 단순 제품 판매에서 컨설팅과 사후 관리로 넓어질 가능성이 큼

  • 등급 분류 표준화, 정책 수립, 운영 점검까지 묶인 수요가 생길 수 있음
  • 기사 속 업계 관계자는 N2SF를 공공 보안의 중심축이 네트워크에서 데이터로 이동하는 전환점으로 봄
  • 하반기부터 AI 인프라와 SaaS 도입을 뒷받침할 고도화된 보안 솔루션 수요가 본격화될 것이라는 전망도 나옴

---

기술 맥락

• N2SF의 핵심 선택은 “망을 무조건 분리할 것인가”에서 “데이터 등급에 따라 다르게 통제할 것인가”로 바뀐 거예요. 공공기관이 AI와 클라우드를 쓰려면 공개 가능한 데이터까지 물리적으로 묶어두는 방식이 너무 비효율적이었거든요.

• 그래서 이번 지침에서는 기밀, 민감, 공개 등급을 나누는 일이 출발점이 돼요. 공개 데이터는 민간 클라우드나 생성형 AI에서도 쓸 수 있지만, 민감 데이터는 업로드나 복사 같은 행동을 등급에 맞춰 막아야 해요.

• 이 구조에서는 DRM, DLP, 제로 트러스트, MFA가 따로 노는 제품이 아니라 하나의 운영 체계로 묶여야 해요. 문서 등급은 유지돼야 하고, 사용자는 계속 검증돼야 하고, AI 서비스로 넘어가는 데이터는 실시간으로 통제돼야 하거든요.

• 어려운 지점은 기술보다 분류 운영이에요. 기관 업무를 모르면 어떤 데이터가 공개이고 어떤 데이터가 민감한지 제대로 나누기 어렵고, 분류가 틀리면 보안 사고나 업무 마비 둘 중 하나로 이어질 수 있어요.

• 그래서 N2SF 이후의 공공 보안 시장은 제품 납품만으로 끝나기 어렵고, 기관별 데이터 분류 기준과 사후 운영까지 봐주는 방향으로 커질 가능성이 높아요. 공공 AI와 SaaS 도입이 늘수록 이런 운영 역량이 실제 경쟁력이 될 거예요.