정부가 공공기관 데이터와 정보시스템을 중요도에 따라 등급화하는 국가망보안체계(N2SF) 도입을 확대한다. 물리적 망분리 중심의 기존 보안 체계를 완화해 공공 분야 인공지능(AI) 활용을 확대하려는 조치다.
15일 업계에 따르면 한국인터넷진흥원(KISA)은 이달 중 약55억원 규모의 N2SF 실증 및 확산 사업 공모를 진행할 예정이다. 사업은 45억원 규모의 'N2SF 도입 지원 사업'과 9억9000만원 규모의 'N2SF 실증 사업 용역'으로 나뉜다.
N2SF는 국가·공공기관 정보시스템과 데이터를 중요도에 따라 기밀(C), 민감(S), 공개(O) 등급으로 구분해 보안 수준을 차등 적용하는 차세대 보안 체계다.
기존에는 업무망과 인터넷망을 분리하는 물리적 망분리가 원칙이었지만, 기밀이나 민감 정보가 아닌 경우에는 망분리를 완화할 수 있도록 국가정보원이 지난해 관련 가이드라인을 마련했다. 이후 과학기술정보통신부와 KISA가 실증 사업을 추진해 왔다.
정부는 지난해 실증 사업에서 과기정통부와 행정안전부의 신규 서비스 2개와 공공기관 기존 업무 환경 4개를 대상으로 N2SF 적용을 위한 설계와 보안성 점검을 진행했다. 올해는 이를 바탕으로 실증과 함께 제도 확산에 초점을 맞춘 사업을 추진할 계획이다.
정부가 N2SF 도입을 추진하는 배경에는 공공 분야 AI 활용 확대가 있다. 기존 물리적 망분리 환경에서는 업무망에서 인터넷이나 클라우드, 생성형 AI 활용이 제한됐지만 N2SF 체계를 적용하면 보안 통제 조건을 충족한 범위에서 AI 활용이 가능해진다.
N2SF를 적용하려는 기관은 우선 정보서비스 현황을 파악하고 데이터와 시스템을 C·S·O 등급으로 분류해야 한다. 이후 위협 식별과 보안 대책 수립, 적절성 평가 과정을 거쳐 국가정보원에 보안성 검토를 요청하게 된다.
정부는 N2SF 도입을 확대하기 위해 정책적 유인책도 마련했다. 국정원은 올해부터 사이버보안 실태평가에서 N2SF 구축 여부를 가산점 항목으로 반영하기로 했다. 해당 평가는 공공기관 경영평가 점수에도 일부 반영된다.
다만 현장에서는 제도 도입 과정에서 혼선 가능성도 제기된다. 각 기관이 자체적으로 데이터와 시스템을 분류해야 하는 만큼 기준이 명확하지 않으면 적용 과정이 쉽지 않다는 지적이다.
또 담당 인력과 예산 부족 문제도 확산의 걸림돌로 꼽힌다. 보안 업계에서는 방대한 데이터를 일일이 평가하고 등급을 부여하는 작업이 쉽지 않은 만큼 구체적인 기준과 지원이 필요하다는 의견이 나온다.
아울러 공공기관 클라우드 보안 규제인 클라우드보안인증제(CSAP) 개편과의 정합성 문제도 과제로 지적된다. 정부는 CSAP를 민간 인증 체계로 전환하고 공공 클라우드 보안 제도를 국가정보원으로 이관하는 방안을 추진하고 있어 N2SF와의 연계 방식이 논의될 전망이다.
권혁 KISA AI정부보호팀장은 "그동안 N2SF 도입의 가장 큰 장벽은 참고할 사례가 부족했다는 점"이라며 "지난해와 올해 실증 사업을 바탕으로 공공기관과 국내 보안 기업들이 참고할 수 있는 사례집을 만들어 배포할 계획"이라고 말했다.