보안 컴플라이언스/(개인)정보보호 주요 정책 동향
국가 망 보안체계(N2SF) 보안 가이드라인 - 국가정보원
경험한사람
2025. 8. 30. 23:23
“획일적 망분리 정책에서 벗어나, 업무 중요도별 보안등급(C/S/O)을 적용하는 국가 망 보안체계(N2SF)는 보안성과 활용성을 동시에 추구하는 새로운 보안 패러다임”

목차
ㄴ 국가 망 보안체계의 등장 배경
ㄴ 추진 목표 및 기본 원칙
ㄴ C/S/O 보안등급 체계
ㄴ 적용 절차 (5단계)
ㄴ 위협 식별 및 보안원칙
ㄴ 보안통제 항목과 기준선
ㄴ 해외 유사 정책과 시사점
ㄴ 결론 및 전망
■ 국가 망 보안체계의 등장 배경
- 2006년부터 공공기관 대상 망분리 정책 시행 → 금융, 방산 등으로 확대
- 목적 : 인터넷망과 내부망을 분리해 외부 사이버 위협을 원천 차단
- 실제 효과 : **WannaCry(2017)**와 같은 글로벌 랜섬웨어 공격에도 국내 피해 최소화
- 그러나 최근 변화
- 원격근무, 클라우드, 생성형 AI 확산 → 망분리 환경에서 업무 비효율 발생
- 공공데이터 활용·개방 요구 증대 - 대응 : 국가정보원 중심 합동 TF → 업무 중요도 기반 차등 보안체계(N2SF) 마련
■ 추진 목표 및 기본 원칙
1. 5대 목표
- 획일적 망분리에서 탈피 → 차등 보안정책으로 전환
- 정보유통 제약 완화 → 스마트 업무환경 조성
- 산·학·연·관 협업 통한 최적화 정책 개발
- 자율·점진적 제도 적용 → 안정적 안착 유도
- 공공정보 활용성과 보안성 동시 강화, 디지털경제 발전 기여
2. 기본 원칙
- 업무 중요도 분류: 기밀(C), 민감(S), 공개(O)
- 보안통제 차등 적용: 등급별 맞춤 보안대책
- 위협 식별과 대응 절차를 표준화
■ 기존 망분리 vs N2SF 비교
| 구분 | 기존 망분리 정책 | 국가 망 보안체계(N2SF) |
| 기본 원칙 | 인터넷망·업무망 이원화 (물리적/논리적 망분리) | 업무 중요도 기반 차등 보안(C/S/O 등급 적용) |
| 보안 수준 | 일괄 적용, 기관·업무 특성 반영 부족 | 기밀/민감/공개 등급별 맞춤형 보안대책 |
| 업무 활용성 | 인터넷 차단으로 불편, 비효율 발생 | 인터넷·클라우드·AI 활용 가능 (보안통제 병행) |
| 관리 방식 | 폐쇄형, 규제 중심 | 자율·점진적 적용, 기관별 조정 가능 |
| 적용 대상 | 공공기관·금융사 중심 전면 적용 | 전 부처/기관 확대, 중요 업무 중심 적용 |
| 국제 정합성 | 국내 특화, 해외 모델과 단절 | 영국 GSCP·미국 NIST RMF 등 글로벌 모델 참조 |
■ C/S/O 보안등급 체계
- 기밀(C: Classified) : 국가안보, 국방·외교, 국민 생명·안전에 직결되는 정보.
- 민감(S: Sensitive) : 개인정보, 영업비밀, 감사·시험·계약 관련 정보.
- 공개(O: Open) : 일반 공개 가능 정보, 비공개 필요성이 소멸된 자료.
※ 정보시스템은 포함된 업무정보의 최고 등급으로 분류. (복수등급 혼재 시 시스템 분리 권고)
■ 적용 절차 (5단계)
| 단계 | 주요내용 |
| 1단계: 준비 (Prepare) | 기관 업무·정보 자산 식별, 시스템 목록화 |
| 2단계: C/S/O 분류 (Categorize) | 업무·시스템별 기밀(C), 민감(S), 공개(O) 등급 지정 |
| 3단계: 위협 식별 (Identify) | ‘위치-주체-객체’ 모델링, 정보 생산·이동 원칙 적용 |
| 4단계: 보안대책 수립 (Select) | 등급별 보안통제 항목 선택 및 구현 계획 수립 |
| 5단계: 평가·조정 (Assess) | 보안성 검토, 적절성 평가 후 보완 및 승인 |
■ 위협 식별 및 보안원칙
- 위협모델링 : 정보서비스를 단순화(위치-주체-객체) → 서로 다른 보안등급 혼용 시 위협 식별
- 보안원칙
- 정보 생산·저장 원칙: 낮은 등급 시스템에서 높은 등급 정보 저장 시 위협
- 정보 이동 원칙: 높은 등급 정보가 낮은 등급 시스템으로 이동 시 위협
- 위협 발생 지점에 맞춰 보안통제 적용
■ 보안통제 항목과 기준선
- N2SF는 등급별 보안통제 기준선(Baseline) 제공
- C등급(기밀): 물리적 망분리, 강화 인증, 전면 암호화
- S등급(민감): 접근통제, 로그관리, 중요 데이터 암호화
- O등급(공개): 기본 보안, 무결성 보장 수준
- 보안통제 항목은 예방·탐지·대응·복구 기능 포함
- 기관별 상황(예산, 인력, 기술)에 따라 세부조정 가능
■ 해외 유사 정책과 시사점
- 영국 GSCP: OFFICIAL/SECRET/TOP SECRET 3등급 체계
- 미국 NIST RMF: 위험관리 프레임워크, 지속 모니터링 강조
- 캐나다 ITSG-33: 부서·정보시스템 계층별 보안통제 카탈로그
- 호주 ISM/Essential Eight: 최소 8대 보안조치(패치, MFA, 관리자 권한 제한 등)
※ 우리나라 N2SF는 이들 모델의 장점을 반영, MAC(강제적 접근통제) + ABAC(속성 기반) 혼합 모델로 진화
■ 결론 및 전망
- N2SF는 기존 망분리 정책의 한계(비효율·폐쇄성)를 극복하고, 공공데이터 활용성과 보안성을 동시에 추구
- 기관별 자율성 + 국가 표준 프레임워크 제공 → 보안·업무 균형 달성 기대
- 향후: 제로트러스트, 공급망 보안, AI·클라우드 환경에 특화된 보안 오버레이 적용 예정
국가 망 보안체계 보안 가이드라인(Draft).pdf
16.47MB
감사합니다.