政府が公共機関のデータと情報システムを重要度に応じて等級化する国家網防安体系(N2SF)の導入を拡大する。物理的な網分離中心の既存のセキュリティ体制を緩和し、公共分野での人工知能(AI)活用を拡大する措置である。
15日、業界によると、韓国インターネット振興院(KISA)は今月中に約55億ウォン規模のN2SF実証および拡散事業の公募を進める予定である。事業は45億ウォン規模の「N2SF導入支援事業」と9億9000万ウォン規模の「N2SF実証事業用役」に分かれる。
N2SFは、国家・公共機関の情報システムとデータを重要度に応じて機密(C)、センシティブ(S)、公開(O)の等級に区分し、セキュリティ水準を差等適用する次世代のセキュリティ体制である。
従来は業務網とインターネット網を分離する物理的網分離が原則だったが、機密やセンシティブ情報でない場合には網分離を緩和できるよう、国家情報院が昨年関連ガイドラインを策定した。その後、科学技術情報通信部とKISAが実証事業を推進してきた。
政府は昨年の実証事業で、科学技術情報通信部と行政安全部の新規サービス2件と公共機関の既存業務環境4件を対象に、N2SF適用のための設計とセキュリティ性点検を実施した。今年はこれを踏まえ、実証と併せて制度拡散に焦点を当てた事業を推進する計画である。
政府がN2SF導入を推進する背景には、公共分野におけるAI活用拡大がある。既存の物理的網分離環境では、業務網からのインターネットやクラウド、生成AIの活用が制限されていたが、N2SF体制を適用すれば、セキュリティ統制条件を満たす範囲でAI活用が可能になる。
N2SFを適用しようとする機関は、まず情報サービスの現況を把握し、データとシステムをC・S・O等級に分類しなければならない。その後、脅威識別とセキュリティ対策の策定、適切性評価の過程を経て、国家情報院にセキュリティ性の検討を要請することになる。
政府はN2SF導入を拡大するために政策的インセンティブも用意した。国家情報院は今年からサイバーセキュリティ実態評価でN2SFの構築有無を加点項目として反映することにした。当該評価は公共機関の経営評価スコアにも一部反映される。
ただし現場では、制度導入過程で混乱の可能性も指摘される。各機関が自らデータとシステムを分類しなければならない以上、基準が明確でなければ適用過程が容易ではないという指摘である。
また、担当人員と予算の不足も拡散の足かせとして挙げられる。セキュリティ業界では、膨大なデータを一つ一つ評価して等級を付与する作業は容易ではないだけに、具体的な基準と支援が必要だとの意見が出ている。
あわせて、公共機関のクラウドセキュリティ規制であるクラウドセキュリティ認証制度(CSAP)の改編との整合性の問題も課題として指摘される。政府はCSAPを民間認証体制に転換し、公共クラウドのセキュリティ制度を国家情報院に移管する案を推進しており、N2SFとの連携方式が議論される見通しである。
クォン・ヒョクKISA AI政府保護チーム長は「これまでN2SF導入の最大の障壁は、参照できる事例が不足していた点だった」と述べ、「昨年と今年の実証事業を踏まえ、公共機関と韓国のセキュリティ企業が参照できる事例集を作成し、配布する計画だ」と語った。