[디플정 기고④] AX시대의 신보안 체계와 망분리 혁신

디지털플랫폼정부(디플정, DPG)에서 중요하게 생각한 과제중 '망분리 규제 혁신'을 빼놓을 수가 없다. 2022년 인수위원회 시절, 디지털플랫폼정부TF는 공공부문의 DX(디지털 트랜스포메이션)와 이를 넘어선 AX(인공지능 트랜스포메이션)를 위해 국정원에 크게 두 가지를 주문했다. 첫째, 클라우드 네이티브 전환과 생성형 AI 도입 등 민간의 혁신기술을 활용하기 위한 '물리적 망분리 폐지'와 둘째, 예측 가능성을 높이기 위한 '보안성 검토의 메뉴얼화'였다.

당시 국정원 담당자들은 개선 필요성에 공감했으나, 이후 보수적 태도를 보였다. 그러다 2023년 1월, AI 대전환 흐름에 따라 안보실 주도로 논의가 이뤄졌고, 국정원도 전향적으로 망분리 혁신에 참여하게 됐다. 국정원은 가이드라인과 기술도입을, 디지털플랫폼정부위원회(이하 디플정위)는 활용과 실증을 담당하기로 했다.

■ 갈라파고스식 망분리 규제의 한계

우리나라 공공 및 금융 분야의 물리적 망분리 정책은 종종 '갈라파고스식 망규제'라 불린다. 북한과 중국 등 사이버공격을 가하는 적대세력이 존재하는 안보 환경의 특수성 때문에 필요하다는 의견도 있지만, 이러한 경직된 망분리 체계는 디지털 혁신시대에 심각한 장애요소가 되고 있다.

특히 클라우드와 AI를 제대로 활용하기 위해서는 망분리 문제가 반드시 해결돼야 한다. 현재 공공부문에서는 인터넷망과 업무망이 엄격히 분리되어 있다. 인터넷망에서는 보안 문제로 제대로 된 소프트웨어를 사용할 수 없고, 인터넷에서 검색한 자료를 업무에 활용하려면 단순한 복사-붙여넣기조차 불가능하다. 이는 단순히 번거로움의 문제가 아닌, 공공부문의 업무 효율성과 생산성을 심각하게 저하시키는 구조적 문제다.

반면, 미국 정부는 아마존, 마이크로소프트 등 민간 클라우드를 'GovCloud'에서 사용하면서도 보안을 유지하고 있다. 미국도 과거에는 물리적 망분리에 의존했으나, 점차 논리적 망분리와 '제로트러스트' 모델로 전환해가는 추세다. 제로트러스트는 '신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)'는 원칙에 기반해, 내부든 외부든 모든 네트워크 연결과 접근 시도를 의심하고 지속적으로 검증하는 보안 모델이다. 이는 단순히 물리적으로 분리된 환경을 유지하는 것보다 지속적인 인증과 권한 검증을 통해 더 효과적인 보안 체계를 구축할 수 있다는 인식 변화를 반영한다.

■ 클라우드 보안인증제도와 다층보안체계 도입

디플정위가 처음부터 주력한 부분은 CSAP(Cloud Security Assurance Program)라는 클라우드 보안인증제도의 개선이었다. 공공이 클라우드를 도입할 때 의무적으로 요구되는 국가단위의 보안 및 개인정보보호 인증제도인 CSAP는 상·중·하 등급으로 나뉘는데, 대부분의 정부업무시스템은 네트워크 연결이 불가능한 상등급에 위치한다. 이로 인해 민간 클라우드와의 연계나 AI 서비스 활용 등 첨단 기술을 도입하는 것이 사실상 불가능했다.

디플정위의 목표는 정부업무시스템을 네트워크 연결이 가능한 중등급으로 분류해 민간의 혁신 기술, AI, SaaS 등을 제대로 활용할 수 있게 하는 것이었다. 이를 위해 국정원과의 논의를 통해 CSO(Classified/Sensitive/Open) 분류 체계를 정립했다. 이 체계에서 정보는 기밀(Classified), 민감(Sensitive), 공개(Open) 등급으로 분류돼 각 등급에 맞는 보안 조치가 적용된다. 이 과정에서 수십 차례의 회의와 민관합동 TF 운영, 보안 관련 업계 및 기관들과의 간담회와 워크숍을 통해 현장의 목소리를 수렴했으며, 산학연관 전문가들이 참여하는 실무분과를 구성해 치밀한 로드맵을 수립했다.

최종적으로 신보안체계는 N2SF(National Network Security FRAMEwork, 新 국가 망 보안체계)로 명명됐다. 당초 신보안체계는 'DPG with MLS'라는 명칭으로 정리됐다. 민간의 혁신기술과 AI를 활용해 민관이 함께 성장한다는 디지털플랫폼정부의 취지에 맞춰 다층보안체계인 MLS(Multi-Layer Security)를 도입하자는 것이었다. 2024년 12월 국가적으로 어려운 상황을 겪으며 N2SF로 명칭이 변경됐지만 핵심은 동일하다.

기존의 일률적 망분리에서 벗어나 업무 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 등급으로 분류하고, 각 등급별 차등적 보안통제를 적용함으로써 보안성 확보와 원활한 데이터 공유를 동시에 달성하고자 하는 목표는 그대로다.

■ 다층보안체계(MLS) 개념과 구현 과제

다층보안체계(MLS)는 단순히 데이터를 구분하고 격리하는 것 이상의 복잡한 개념이다. 각 데이터의 중요도에 따라 다른 보안 정책을 적용하고, 물리적 격리 뿐 아니라 논리적 구분, 권한 관리, 접근 통제를 통해 다층적인 보안을 실현하는 것이다. 그러나 이러한 방식이 단순한 망분리의 또 다른 형태로 운영될 경우, 현대적인 보안 위협에 충분히 대응하지 못할 위험이 있다.

구체적으로 MLS의 구현 과정은 매우 복잡하다. 정보시스템 내 모든 데이터와 자산을 식별하고, CSO 등급을 분류한 뒤, 정보서비스를 '위치-주체-객체'로 모델링하고, 여기에 보안통제를 적용해야 한다. '위치-주체-객체' 모델링이란 정보가 어디에 있고(위치), 누가 접근하며(주체), 무엇에 접근하는지(객체)를 체계적으로 분석하는 방법이다. 국정원, 디플정위 등 관계기관은 이 보안통제 항목을 최적화하는 작업을 진행해 왔고, 미국 NIST(National Institute of Standards and Technology, 국립표준기술연구소)의 RMF(Risk Management FRAMEwork, 위험관리 프레임워크)와 제로트러스트 개념을 국내 환경에 맞게 적용하는 작업을 병행했다.

NIST RMF는 미국 정부가 정보 시스템의 보안 위험을 관리하기 위해 사용하는 체계적인 방법론으로, 위험 평가와 관리 프로세스를 제공한다. MLS가 제대로 구현되기 위해서는 데이터의 중요성에만 의존하는 것이 아니라, 소프트웨어 아키텍처와 시스템 운영 측면에서의 상호작용을 충분히 고려해야 한다. 각 정보 영역 간의 안전한 데이터 흐름과 접근 제어가 중요하며, 이를 위해 보안을 데이터 중심으로 재편하는 접근이 필요하다.

■ 디지털플랫폼정부와 데이터 기반 혁신

디지털플랫폼정부는 정부가 공급자로서 혼자 문제를 해결하는 것이 아니라, 혁신 속도가 빠른 민간과 함께 만들어가는 개념이다. 이를 위해서는 민간의 혁신기술을 빠르게 받아들여야 하며, AI와 클라우드가 핵심 요소로 작용한다. AI 대전환 시대를 대비하기 위해 가장 중요한 것은 데이터다. 정부업무시스템이 폐쇄적인 업무망에 갇혀 있어서는 안 되며, 정부 내부 데이터 중 이미 공개 가능한 데이터나 정보가 상당수 존재한다.

기존 문제점은 정부 정보시스템 내부의 데이터 중 하나만 높은 등급이라 해도, 정보시스템 자체가 높은 등급으로 분류돼 혁신이 어렵다는 점이다. 예를 들어, 대부분의 공개 가능한 데이터가 있는 시스템이라도 일부 비공개 데이터가 포함돼 있다면 시스템 전체가 높은 보안 등급으로 분류되어 외부와의 연계가 불가능해진다. 또한, 물리적 망분리 환경에서는 데이터 활용이 사실상 불가능하다. 이러한 문제를 해결하기 위해 디지털플랫폼정부위원회는 국정원과의 논의를 통해 CSO 분류체계를 정립했으며, 정보나 데이터가 자유롭게 흐르는 구조를 만들고, 일부 데이터나 정보 등급 때문에 전체 시스템이 상위 등급으로 분류되는 부분도 개선하도록 했다.

예를 들어, 복수 등급 업무정보가 저장된 경우 시스템을 분리하거나, 데이터 자체에 대한 접근 통제를 강화함으로써 시스템 전체의 등급 상향을 방지하는 접근법을 도입했다. 궁극적 목표는 업무망과 인터넷망의 구분을 없애고, 데이터나 정보의 등급에 따라 제로트러스트 아키텍처를 통해 보안 및 접근 통제가 이뤄지도록 하는 것이다. 이를 실현하기 위해서는 소프트웨어 아키텍처, 물리적 인프라, 가상 인프라를 모두 포괄하는 통합적 접근이 필요하다.

■ 최신 보안 방법론 도입

N2SF의 성공적인 구현을 위해서는 보안 강화를 위한 최신 보안 방법론을 도입할 필요가 있다. 첫째, DevSecOps(Development, Security, Operations) 방법론 도입이 필수적이다. 이는 개발(Development), 보안(Security), 운영(Operations)을 통합적으로 관리하는 접근법으로, 개발 초기 단계부터 보안을 고려하고, 코드 배포 전에 취약점을 해결하며, 운영 단계에서도 보안 상태를 지속적으로 모니터링할 수 있게 한다.

둘째, SBOM(Software Bill of Materials, 소프트웨어 자재명세서)을 활용해야 한다. SBOM은 소프트웨어 구성 요소를 명확하게 관리하고 취약점을 사전에 파악할 수 있게 해주는 중요한 도구다. 특히 공급망 공격이 증가하는 상황에서 소프트웨어 내 모든 구성 요소와 의존성을 명확히 파악하는 것은 필수적이다.

셋째, 마이크로서비스, 서버리스, 클라우드 기반 시스템 등 다양한 현대적 소프트웨어 아키텍처에 맞는 보안 전략을 수립해야 한다. 각 아키텍처는 각기 다른 보안 요구사항을 가지고 있으며, 이러한 환경에서는 각 시스템의 연결과 상호작용에 대한 철저한 보안 관리가 필요하다.

현재, 국정원에서는 보안통제 항목 개발 과정에서 공급망 보안을 강화하기 위한 요소들을 추가로 반영하고 있다고 하는데, 이 과정에서 위에 언급한 내용들을 심도있게 논의해야 한다. 보안 전문가는 클라우드나 AI 전문가도, 소프트웨어 아키텍처 전문가도 아니다. 때문에, 우리가 미래 혁신에 제대로 대응하기 위해서는 앞으로 각 혁신기술 분야의 전문가들과 함께 제대로 논의해야 한다.

■ N2SF 실증과 주요 추진 과제

N2SF의 실효적 구현은 단순한 이론적 체계를 넘어 실질적인 적용과 검증이 필요한 도전적 과제다. 구체적으로 다음과 같은 현실적 과제들을 직면하고 있다. 첫째, 정부 기관별로 다양한 시스템이 복잡하게 연결돼 있어 이들을 일관된 기준으로 분류하고 평가하는 작업이 어렵다. 둘째, 기존 레거시 시스템을 다층보안체계에 통합하는 과정에서 발생할 수 있는 기술적 난제가 존재한다. 셋째, 보안을 강화하면서도 사용자 경험과 업무 효율성을 해치지 않는 균형점 찾기가 중요하다. 넷째, 새로운 체계 도입에 따른 인프라 구축, 교육, 운영 비용과 전문 인력 확보 문제도 해결해야 한다.

이러한 과제들을 해결하기 위해 국정원과 디플정위는 다양한 활용 사례(Use Case)를 고민했다. 각 기관들의 정보시스템들이 N2SF의 지침에 따라 차츰 구현돼가겠지만, 그 전에 어떻게 활용되고 적용될 수 있는지 참조 모델이 될만한 실증 사업이 필요했다. 다음의 8개 주요 과제를 통해 보안통제 항목 검증과 보완을 통해 실효성을 높여갈 예정이다.

우선 DPG허브(DPG HUB)와 범정부 초거대 AI 공통기반 플랫폼 등에서 적용을 준비 중이다. 아무래도 참조모델이 되기 위해서는 새로 만들어지는 신규 시스테에 적용하기가 쉽기 때문이다. DPG HUB는 정부 부처 간 데이터와 서비스를 연계하는 중앙 허브로서, 다층보안체계를 통해 데이터의 안전한 공유와 활용을 지원할 예정이다. 범정부 초거대 AI 플랫폼은 정부 내 AI 활용을 확대하기 위한 공통 인프라로, 민감한 정부 데이터를 안전하게 AI 훈련과 추론에 활용할 수 있는 보안 체계를 구축해 나갈 것이다.

각 정보시스템에 적용될 8가지 실증 사업의 예를 간단히 설명하면 다음과 같다. 첫째, 인터넷 단말의 업무 효율성 제고 과제는 망분리된 인터넷 단말에서 문서편집기, 협업 소프트웨어, 클라우드 등 필요한 도구를 활용할 수 있도록해 업무 생산성을 향상시키는 것이다. 보안통제를 통해 O등급(공개) 데이터의 안전한 활용을 보장하며, 이를 통해 공무원들의 작업 환경이 크게 개선될 것으로 기대된다.

둘째, 업무환경에서 생성형 AI 활용 과제는 업무단말에서 생성형 AI 서비스에 접속해 업무에 활용할 수 있도록 하는 것이다. S등급(민감) 업무환경에서 보안통제를 통해 안전하게 외부 AI 서비스를 이용할 수 있게 함으로써, 공공부문에서도 AI 기술의 혜택을 충분히 누릴 수 있게 될 것이다.

셋째, 외부 클라우드 활용 업무협업 체계 과제는 업무단말에서 업무 생산성과 효율성 제고에 필요한 외부 협업도구(SaaS)를 활용할 수 있게 하는 것이다. 모바일 단말과 원격 단말에서도 안전하게 접근 가능한 협업 환경을 구축함으로써, 시간과 장소에 구애받지 않는 유연한 업무환경을 조성할 수 있다.

넷째, 업무단말의 인터넷 이용 과제는 업무단말 OS의 악성코드 감염 차단 환경에서 인터넷 서비스에 접속해 업무에 활용할 수 있는 체계를 구축하는 것이다. 이를 통해 업무 효율성을 높이면서도 보안 위협을 최소화하는 균형점을 찾을 수 있다.

다섯째, 공공데이터의 민간 AI 융합 과제는 공공데이터 및 내부 데이터를 민간의 AI 기술과 안전하게 결합해 활용할 수 있는 체계를 구축하는 것이다. 외부에서 충분히 사전학습된 초거대 AI 모델을 경량화하고 파인튜닝, 민관협력존(PPP존)에 위치하게 하고, 오토브라우징 기술 등을 통해 실시간 정보 수집을 지원함으로써 공공서비스의 품질을 획기적으로 향상시킬 수 있다.

여섯째, 연구 목적 단말의 신기술 활용 과제는 연구 목적 업무환경에서 국내외 제한 없이 연구에 필요한 다양한 신기술을 활용할 수 있게 하는 것이다. 이를 통해 연구 개발 효율성과 혁신성을 높이면서도 보안 통제를 유지해 공공부문의 연구역량을 강화할 수 있다.

일곱째, 개발 환경 편의성 향상 및 원격 개발 과제는 인터넷에 접속해 개발에 필요한 오픈소스 등을 활용하고, 필요시 원격 개발이 가능하도록 지원하는 것이다. 개발자들의 업무 효율성과 생산성을 향상시키며, 보안통제를 통해 안전한 개발 환경을 구축함으로써 공공부문 소프트웨어의 품질과 개발 속도를 모두 개선할 수 있다.

여덟째, 클라우드 기반 통합 문서체계 과제는 기관 내외부에서 단말 유형에 관계없이 통합 문서체계를 활용해 업무자료 생산, 공유, 협업이 가능하도록 하는 것이다.

이러한 8개 과제는 단순한 기술적 구현을 넘어 업무 프로세스 혁신과 조직문화 변화까지 포함하는 종합적인 접근을 필요로 한다. 각 과제별로 보안통제 항목을 철저히 검증하고 보완함으로써 다층보안체계의 실효성을 높이고, 혁신과 보안이 균형을 이루는 국가 망 보안체계를 구축해 나갈 계획이다.

■ 보안 혁신과 민간 협력간 시너지

정부가 보안에 대한 접근 방식을 기술 변화와 트렌드에 맞춰 수정해야만 민간의 다양한 혁신을 수용할 수 있으며, 정부 시스템이 사일로화되지 않고 개방적이며 유연한 구조를 유지할 수 있다. 현재처럼 망분리와 다층보안체계에만 초점을 맞추는 것은 외부 위협을 차단하는 데는 도움이 되지만, 혁신적인 서비스나 기술을 받아들이는 데 있어 큰 제약이 될 수 있다.

민간의 IT 혁신은 상호 연결성과 데이터 공유를 통해 가치를 창출하는 경우가 많기 때문에, 정부 시스템이 고립된 형태로 운영될 경우 민간과의 협력이 제한적일 수밖에 없다. 이러한 맥락에서 보안과 혁신 사이의 균형을 찾기 위한 민관 협력이 핵심적이다.

국정원과 디플정위는 민간 보안 기업들과의 적극적인 협력을 추진했다. N2SF 도입 과정에서는 보안업계와 클라우드 협회 등을 대상으로 간담회와 워크숍을 진행해 현장의 목소리를 수렴했으며, 특히 중요한 것은 정부가 단순히 보안 요구사항을 제시하는 데 그치지 않고, 민간의 혁신적인 보안 기술과 접근법을 적극적으로 수용하고 장려하려 했다. 예를 들어, 다층보안체계 도입에 따라 사이버 위협에 대응하기 위한 보안기술 수요가 증가하고, AI·클라우드·데이터 산업 분야의 시장이 활성화할 것으로 기대한다. 이는 보안 산업 성장과 기술 혁신을 자극하는 계기가 될 수 있다.

■ 결론: 혁신과 보안의 균형점 찾기

N2SF로의 전환은 단순한 정책 변화가 아니다. 디지털 시대의 국가 경쟁력과 직결된 중요한 변화다. 다층보안체계(MLS)가 단순한 망분리의 또 다른 형태로 사용된다면, 현대적인 보안 위협에 충분히 대응하지 못할 가능성이 있다. 따라서 보안 정책을 기술 변화와 트렌드에 맞춰 지속적으로 수정해나가야 한다.

다층보안체계(N2SF)의 성공적인 구현을 위해서는 다음과 같은 포괄적 접근이 필요하다:

첫째, 통합적 보안 거버넌스 확립이다. 국정원, 디플정위, 행안부 등 관련 기관의 긴밀한 협력과 범정부 차원의 일관된 보안 정책 추진이 필요하다. 구체적으로는 기관 간 정기적인 협의체 운영, 통합 보안 가이드라인 수립, 그리고 N2SF 이행 상황을 모니터링하는 범정부 조직 구성 등이 포함된다. 기관별로 분절된 정책이 아닌, 유기적으로 연결된 일관성 있는 보안 프레임워크가 필수적이다. 새 정부에서도 디플정위와 같은 조직이 필요하다. 정부부처만으로는 한계가 있다. 좀 더 유연하고 민간에 대한 이해가 더 크고, 민간이 중심이된 조직이 함께 참여해야만 한다.

둘째, 단계적 도입 전략이다. 우선 8개 주요 과제를 시작으로 다층보안체계를 점진적으로 확대하고, 각 단계에서 보안성과 효율성을 철저히 검증해야 한다. 일부 시범 기관에서 우선 적용한 후 성공 사례를 기반으로 타 기관으로 확산하는 방식이 효과적이다. 한 번에 모든 시스템을 전환하기보다는 시범사업을 통해 검증하고 보완하면서 안정적으로 확대해 나가는 전략이 필요하다.

셋째, 전문 인력 양성이다. 다층보안체계를 이해하고 운영할 수 있는 전문 인력 양성 및 지속적인 교육 체계 구축이 필수적이다. 소프트웨어 아키텍처, 클라우드 보안, 제로트러스트 모델 등에 대한 전문성을 갖춘 인력이 필요하며, 이를 위한 교육 프로그램과 자격 체계도 마련해야 한다. 아무리 좋은 시스템도 이를 운영할 인력이 부족하면 효과를 발휘할 수 없기 때문에, 정부와 민간이 협력해 전문 인력을 체계적으로 양성해야 한다. 보안과 혁신이 균형점을 찾아야 하는데, 지금은 보안전문가 따로, AI나 클라우드 전문가 따로인 현상이 발생하고 있다.

넷째, 지속적인 기술 혁신이다. 다층보안체계를 뒷받침할 보안 기술의 지속적 혁신과 국내외 표준과의 호환성 확보가 필요하다. 특히 행위 기반 탐지, AI 기반 위협 분석, 차세대 인증 기술 등 첨단 보안 기술을 적극 도입해야 한다. 글로벌 표준과의 정합성을 유지하면서도 우리나라의 특수한 보안 환경을 고려한 기술 발전 방향을 설정해야 한다. 국정원의 전향적인 변신과 태도가 요구되는 지점이다.

다섯째, 법제도 정비다. AI 대전환을 저해하는 낡은 규제를 정비하고, 새로운 보안 패러다임에 맞는 법적 기반을 마련하는 것이 중요하다. 현행 '국가정보보안 기본지침'과 '전자정부법' 등을 개정해 N2SF의 법적 근거를 명확히 하고, 클라우드 및 AI 활용을 촉진하는 제도적 환경을 조성해야 한다. 법과 제도가 기술 발전 속도를 따라가지 못하면 오히려 혁신을 저해하는 요인이 될 수 있으므로, 선제적이고 유연한 법제도 정비가 수반돼야 한다.