국가 공공기관이 인공지능(AI) 등 신기술을 활용할 수 없게 막아온 ‘망분리 정책’이 완화되고, 새로운 보안 체계인 ‘다층보안체계(MLS)’가 내년 도입된다. 정보시스템을 중요도에 따라 3개 등급으로 분리해 각각에 맞는 보안 체계를 적용하고, 중요 정보 보안은 강화하되 덜 민감한 정보는 활용할 수 있도록 풀어주는 것이다.
12일 업계에 따르면 국가정보원은 서울 코엑스에서 열린 국제 사이버안보 행사 ‘CSK 2024′에서 국가 망 보안정책 개선 로드맵을 발표하고 다층보안체계 전환을 위한 구상을 공개했다. 신용석 국가안보실 사이버안보비서관은 “인터넷과 AI, 클라우드를 활용해 업무 생산성을 획기적으로 개선하자는 게 망 보안 정책의 중요한 목적”이라고 설명했다.
망 분리 규제는 내·외부 네트워크 망을 물리적으로 분리하는 보안 기법이다. 우리나라는 2006년부터 정부 부처 및 공공기관에서 망 분리를 시행해 왔다. 인터넷을 하려면 외부망에 연결된 별도 PC를 사용해야 했다. 물리적으로 망을 분리했기 때문에 외부의 침투를 효과적으로 방어할 수 있었지만 외부와의 연결이 이뤄지지 않기 때문에 생성형 AI 시대에 첨단 정보기술(IT)·인프라를 도입하기 어렵다는 지적이 꾸준히 제기돼 왔다.
MLS는 국가 전산망을 업무정보 중요도에 따라 기밀(Classified)·민감(Sensitive)·공개(Open) 등급으로 분류한다. 등급별 차등적 보안 통제로 보안성을 확보하는 동시에 원활한 데이터 공유를 달성하는 게 핵심이다. 분류된 정보들은 모델링 평가를 거쳐 등급에 따른 보안대책으로 관리된다. 등급별로 보안 통제를 달리해 데이터 공유를 보다 수월하게 한다는 구상이다. 보안 업계는 안보, 국방, 외교 등 기밀(C) 등급에는 기존 물리적 망분리를 유지하고, 민감(S) 이하 등급에는 제로트러스트 같은 첨단 보안 체계를 적용하는 방식이 유력하다고 보고 있다.
업무 관련 인터넷 활용도 수월해진다. 현재는 인터넷 검색이 가능한 별도 단말에서 인터넷을 활용할 수 있긴 했지만 문서 편집·소프트웨어 사용 등이 제한돼 업무 생산성에 도움이 되지 않았다. 다층보안체계 전환에 따라 문서편집기와 협업용 소프트웨어, 클라우드, 기타 인가 소프트웨어 등을 인터넷 PC에 설치해 직접적으로 업무에 활용할 수 있게 됐다.
또한 업무용 PC에 인터넷을 연결해 챗GPT 등 생성형 AI를 직접 접속해 업무에 활용하는 것도 가능해진다. 외부 클라우드 접속이 가능해져 국외 기관이나 민간 등과 업무 협업 체계를 구성할 수도 있게 된다. 인터넷에 접속해 개발에 필요한 오픈소스를 활용하거나 필요시 원격 개발을 수행하는 등 개발 환경 편의성 또한 대폭 높이도록 했다. 악성코드 등 외부의 보안 공격에 대비해 업무용 PC는 운영체제(OS)에 악성코드 감염 차단 환경을 구축한다.
국정원은 올해 말까지 각계 의견수렴과 보완을 통해 로드맵을 최종 확정 후 내년부터 정책을 시행한다. 먼저 디지털플랫폼정부위원회 주관으로 ‘공공데이터의 외부 AI 융합’ 등 8개 추진과제를 시범사업으로 추진하고, 보안통제 실효성 및 안정성을 검증할 계획이다.