상세 컨텐츠

본문 제목

국가 망 보안체계(N2SF) 보안 가이드라인 - 국가정보원

본문

“획일적 망분리 정책에서 벗어나, 업무 중요도별 보안등급(C/S/O)을 적용하는 국가 망 보안체계(N2SF)는 보안성과 활용성을 동시에 추구하는 새로운 보안 패러다임”



목차
   ­ㄴ 국가 망 보안체계의 등장 배경
   ­ㄴ 추진 목표 및 기본 원칙
   ­ㄴ C/S/O 보안등급 체계
   ­ㄴ 적용 절차 (5단계)
   ­ㄴ 위협 식별 및 보안원칙
   ­ㄴ 보안통제 항목과 기준선
   ­ㄴ 해외 유사 정책과 시사점
   ­ㄴ 결론 및 전망

 

■ 국가 망 보안체계의 등장 배경   

  • 2006년부터 공공기관 대상 망분리 정책 시행 → 금융, 방산 등으로 확대
  • 목적 : 인터넷망과 내부망을 분리해 외부 사이버 위협을 원천 차단
  • 실제 효과 : **WannaCry(2017)**와 같은 글로벌 랜섬웨어 공격에도 국내 피해 최소화
  • 그러나 최근 변화
      -  원격근무, 클라우드, 생성형 AI 확산 → 망분리 환경에서 업무 비효율 발생
      - 공공데이터 활용·개방 요구 증대

  • 대응 : 국가정보원 중심 합동 TF → 업무 중요도 기반 차등 보안체계(N2SF) 마련

■ 추진 목표 및 기본 원칙   

  1. 5대 목표

  • 획일적 망분리에서 탈피 → 차등 보안정책으로 전환
  • 정보유통 제약 완화 → 스마트 업무환경 조성
  • 산·학·연·관 협업 통한 최적화 정책 개발
  • 자율·점진적 제도 적용 → 안정적 안착 유도
  • 공공정보 활용성과 보안성 동시 강화, 디지털경제 발전 기여

  2. 기본 원칙

  • 업무 중요도 분류: 기밀(C), 민감(S), 공개(O)
  • 보안통제 차등 적용: 등급별 맞춤 보안대책
  • 위협 식별과 대응 절차를 표준화

■ 기존 망분리 vs N2SF 비교   

구분 기존 망분리 정책 국가 망 보안체계(N2SF)
기본 원칙 인터넷망·업무망 이원화 (물리적/논리적 망분리) 업무 중요도 기반 차등 보안(C/S/O 등급 적용)
보안 수준 일괄 적용, 기관·업무 특성 반영 부족 기밀/민감/공개 등급별 맞춤형 보안대책
업무 활용성 인터넷 차단으로 불편, 비효율 발생 인터넷·클라우드·AI 활용 가능 (보안통제 병행)
관리 방식 폐쇄형, 규제 중심 자율·점진적 적용, 기관별 조정 가능
적용 대상 공공기관·금융사 중심 전면 적용 전 부처/기관 확대, 중요 업무 중심 적용
국제 정합성 국내 특화, 해외 모델과 단절 영국 GSCP·미국 NIST RMF 등 글로벌 모델 참조

 

■ C/S/O 보안등급 체계   

  • 기밀(C: Classified) : 국가안보, 국방·외교, 국민 생명·안전에 직결되는 정보.
  • 민감(S: Sensitive) : 개인정보, 영업비밀, 감사·시험·계약 관련 정보.
  • 공개(O: Open) : 일반 공개 가능 정보, 비공개 필요성이 소멸된 자료.

  ※ 정보시스템은 포함된 업무정보의 최고 등급으로 분류. (복수등급 혼재 시 시스템 분리 권고)

■ 적용 절차 (5단계)   

단계 주요내용
1단계: 준비 (Prepare) 기관 업무·정보 자산 식별, 시스템 목록화
2단계: C/S/O 분류 (Categorize) 업무·시스템별 기밀(C), 민감(S), 공개(O) 등급 지정
3단계: 위협 식별 (Identify) ‘위치-주체-객체’ 모델링, 정보 생산·이동 원칙 적용
4단계: 보안대책 수립 (Select) 등급별 보안통제 항목 선택 및 구현 계획 수립
5단계: 평가·조정 (Assess) 보안성 검토, 적절성 평가 후 보완 및 승인

 

■ 위협 식별 및 보안원칙   

  • 위협모델링 : 정보서비스를 단순화(위치-주체-객체) → 서로 다른 보안등급 혼용 시 위협 식별
  • 보안원칙
    • 정보 생산·저장 원칙: 낮은 등급 시스템에서 높은 등급 정보 저장 시 위협
    • 정보 이동 원칙: 높은 등급 정보가 낮은 등급 시스템으로 이동 시 위협
  • 위협 발생 지점에 맞춰 보안통제 적용

■ 보안통제 항목과 기준선   

  • N2SF는 등급별 보안통제 기준선(Baseline) 제공
    • C등급(기밀): 물리적 망분리, 강화 인증, 전면 암호화
    • S등급(민감): 접근통제, 로그관리, 중요 데이터 암호화
    • O등급(공개): 기본 보안, 무결성 보장 수준
  • 보안통제 항목은 예방·탐지·대응·복구 기능 포함
  • 기관별 상황(예산, 인력, 기술)에 따라 세부조정 가능

■ 해외 유사 정책과 시사점   

  • 영국 GSCP: OFFICIAL/SECRET/TOP SECRET 3등급 체계
  • 미국 NIST RMF: 위험관리 프레임워크, 지속 모니터링 강조
  • 캐나다 ITSG-33: 부서·정보시스템 계층별 보안통제 카탈로그
  • 호주 ISM/Essential Eight: 최소 8대 보안조치(패치, MFA, 관리자 권한 제한 등)
     우리나라 N2SF는 이들 모델의 장점을 반영, MAC(강제적 접근통제) + ABAC(속성 기반) 혼합 모델로 진화

■ 결론 및 전망   

  • N2SF는 기존 망분리 정책의 한계(비효율·폐쇄성)를 극복하고, 공공데이터 활용성과 보안성을 동시에 추구
  • 기관별 자율성 + 국가 표준 프레임워크 제공 → 보안·업무 균형 달성 기대
  • 향후: 제로트러스트, 공급망 보안, AI·클라우드 환경에 특화된 보안 오버레이 적용 예정

국가 망 보안체계 보안 가이드라인(Draft).pdf
16.47MB



감사합니다.

관련글 더보기