"국가망 보안체계(N2SF)는 경쟁형 보안 모델이 아니라 제로트러스트 방식으로 구현해야 합니다."
최영철 SGA솔루션즈 대표가 30일 서울 강남구 코엑스에서 열린 과학기술정보통신부 주관 'AI 페스타 2025' 부대행사 '대한민국 사이버보안 컨퍼런스'에서 이같이 밝혔다.
최 대표는 "한국인터넷진흥원을 통해 3개의 N2SF 국가망 보안체계 실증 사업이 나왔다"며 "SGA솔루션즈는 국가·공공기관 대상 시범 실증 사업 주관사로 선정돼 사업을 진행하고 있다"고 말했다.
그는 또 "21년 제로트러스트 연구 과제를 시작으로 가이드라인 1.0, 2.0 제작에도 참여해왔다"며 "이 경험을 토대로 N2SF 시범 실증 사업에서도 제로트러스트 아키텍처 역량을 기반으로 국가망 보안체계를 구현하겠다"고 설명했다.
최 대표는 기존 망분리 정책의 한계를 언급했다. 그는 "기존에는 개인 업무망과 인터넷망을 완전히 분리했지만, 클라우드와 AI 환경에서는 외부 인터넷 연결이 불가피하다"며 "이에 따라 기밀(C), 민감(S), 오픈(O) 등급으로 구분해 보안 통제를 적용하는 방식으로 개선해야 한다"고 강조했다.
이어 "178개 보안 통제 항목이 정의돼 있으며 오늘 발표된 가이드라인 1.0에서는 수십 개가 추가돼 200개 이상으로 늘어났다"며 "공공기관이 생성형 AI 활용이나 인터넷 접속을 하는 경우에도 필요한 통제 항목을 선택해 적용할 수 있다"고 설명했다.
최 대표는 제로트러스트 개념을 구체적으로 소개했다. 그는 "내부 사용자라고 해도 신뢰하지 않고, 접근할 때마다 기기 보안 상태를 점검하고 다중 인증을 거쳐 최소 권한으로만 접근해야 한다"며 "이것이 제로트러스트의 원칙"이라고 말했다.
또한 "정책시행시점(PEP)는 기존처럼 각각 판단하는 게 아니라 정책결정시점(PDP)에서 통합적으로 계정·인증·권한을 관리해야 한다"며 "보안 점수에 따라 시스템을 등급화하고 마이크로 세그멘테이션을 적용하는 것이 기본 원칙'이라고 밝혔다.
SGA솔루션즈는 현재 ▲특허청 ▲국가과학기술연구회(NST) ▲정보통신기획평가원(IITP) ▲국가보안기술연구소(NSR) 등 4개 기관을 대상으로 N2SF 시범 실증을 진행 중이다.
관련기사
- SGA솔루션즈, '국가 망 보안체계 시범 실증사업’ 주관사 선정2025.09.24
- 보안업계 "N2SF 내년 본격 확산...수요 대응 잰걸음"2025.09.07
- SGA솔루션즈, 시스템 접근제어 자회사 ‘SGN’ 합병…제로트러스트 강화2025.07.21
- SGA솔루션즈 서버 보안 솔루션 ‘RedCastle V6.0’,CC인증 EAL4 획득2025.06.24
최 대표는 "기관 사용자 중 일부를 대상으로 외부 인터넷이나 생성형 AI 활용 환경을 시험 적용해 통제 항목의 효과를 검증하고 있다"며 "컨설팅은 엔큐라이트, RBI 솔루션은 소프트캠프, EDR은 지니언스가 담당하고 있다"고 밝혔다.
그는 "중앙 PDP를 통해 PC 등록, 사용자 등록, 시스템 등록을 관리하고, 다른 보안업체와 연동해 실증 사업을 수행 중"이라며 "시범사업을 통해 보안 통제 항목을 고도화하고, 공공기관에 실제 적용 가능한 체계를 마련하겠다”고 말했다.
