보안이슈#1. N2SF(National Network Security Framework)

수십 년간 국내 보안의 근간이었던 '물리적 망분리' 체계가 한계에 부딪히면서, 정부는 2025년에 인공지능(AI)과 클라우드 환경에 대응하기 위한 새로운 보안 패러다임으로 N2SF(National Network Security Framework)을 제시했다.

1. N2SF란?

N2SF(National Network Security Framework, 국가 망 보안체계)는 기존의 망분리 정책에서 벗어나, 데이터의 중요도에 따라 보안 수준을 차등화하여 적용하는 새로운 국가 네트워크 보안 프레임워크다.

 

과거에는 업무망과 인터넷망을 물리적으로 완전히 나누는 것만으로도 충분한 방어가 가능했다.

하지만 클라우드 도입 가속화, 생성형 AI의 등장, 그리고 SaaS(Software as a Service) 협업 도구의 필수화로 인해 기존의 폐쇄적인 망 구조는 오히려 국가 경쟁력과 업무 효율성을 저해하는 요소가 되었다.

• 망분리(Network Separation): 외부 인터넷으로부터 내부 자산을 보호하기 위해 네트워크 경로를 물리적 또는 논리적으로 차단하는 것.

 

 

2. 망 중심에서 데이터 중심으로

 

N2SF의 핵심은 '어디에 있느냐(Location)'보다 '무엇에 접근하느냐(Data/Asset)'에 집중한다는 점이다.

기존 망분리 vs N2SF 비교

구분	기존 망분리 체계	N2SF
보안 철저	경계 기반(내부망은 신뢰, 외부망은 차단)	제로트러스트(아무도 믿지 않고 항상 검증)
핵심 기준	네트워크 위치 (업무망 vs 인터넷망)	데이터 가치 및 업무 중요도 (C/S/O)
규제 성격	절차 준수(망분리 여부 확인)	보안 요구사항 설정 및 운영 성숙도 중시
기술 요소	망연계 장비 중심	CDS, RBI, 적응형 인증, 마이크로 세그멘테이션

용어

• 제로트러스트(Zero Trust): "절대 신뢰하지 말고, 항상 검증하라"는 원칙하에 사용자, 기기, 위치에 상관없이 모든 접속 시도를 지속적으로 확인하는 보안 모델.
• CDS (Cross Domain Solution, 망간 자료전송 제품): 보안 수준이 서로 다른 네트워크(예: C등급 기밀망과 O등급 공개망) 사이에서 데이터를 안전하게 교환하기 위한 보안 통제 체계다. 단순한 파일 전송을 넘어 데이터 포맷의 무결성을 검증하고, 비인가 데이터나 악성코드가 포함되어 있는지 실시간으로 검사하여 보안 등급이 낮은 영역에서 높은 영역으로 위협이 전이되는 것을 원천 차단한다.
• RBI (Remote Browser Isolation, 원격 브라우저 격리): 웹 브라우징 과정에서 발생하는 모든 실행 코드를 사용자 단말기가 아닌, 별도의 격리된 클라우드나 서버(샌드박스) 내 컨테이너에서 구동하는 기술이다. 사용자에게는 실행된 결과 화면만을 이미지 스트리밍 방식으로 전달하기 때문에, 웹사이트에 매복된 악성 스크립트나 랜섬웨어가 사용자의 실제 PC에 도달하는 것을 물리적으로 방지한다.
• 적응형 인증 (Adaptive Authentication): 접속을 시도하는 주체의 컨텍스트(사용자 위치, 기기 식별값, 접속 시간, IP 위험도 등)를 실시간으로 분석하여 인증의 강도를 유동적으로 결정하는 방식이다. 예를 들어 평소와 동일한 사무실 단말기라면 ID/PW만으로 접속을 허용하고, 생소한 해외 IP나 비인가 단말기에서 접속할 경우 MFA(추가 인증)를 강제하는 등 보안성과 사용자 편의성을 동시에 확보한다.
• 마이크로 세그멘테이션(Micro-segmentation): 네트워크를 아주 작은 단위로 쪼개어 특정 구역이 침해되더라도 전체로 확산되지 않도록 통제하는 기술.

 

3. C/S/O 등급 분류

N2SF는 데이터를 기밀성, 중요도에 따라 세 가지 등급으로 분류한다.

• C(Confidential, 기밀): 유출 시 국가 안보에 치명적인 영향을 미치는 핵심 자산. 가장 강력한 물리적 망분리 수준의 통제가 적용된다.
• S(Sensitive, 민감): 업무 수행에 필수적이며 유출 시 피해가 예상되는 데이터. 논리적 망분리 및 고도화된 접근 통제가 적용된다.
• O(Open, 공개): 일반적인 행정 업무 및 대민 서비스 관련 데이터. 보안 통제 하에 인터넷 및 외부 클라우드 활용이 폭넓게 허용된다.

 

4. 실무 적용 모델 예시

N2SF 가이드는 다양한 정보서비스 모델을 제시하며, 실무에서는 다음과 같이 구현될 수 있다.

4.1 인터넷 단말 모델 (O등급 단말)

공무원이나 임직원이 인터넷을 자유롭게 쓰되 내부망은 보호하는 구조다.

단말 자체에 백신과 취약점 관리 솔루션을 설치하고, 인터넷 접속 시에는 반드시 RBI(Remote Browser Isolation)나 웹 필터를 거치게 한다.

4.2 생성형 AI 활용 모델

생성형 AI를 업무에 도입할 때, 데이터 등급에 따라 통제 방식이 달라진다.

• SaaS형 AI(ChatGPT 등): O등급 데이터만 입력 가능하도록 정책을 설정하고, DLP 솔루션을 통해 민감 정보가 프롬프트에 포함되는지 실시간으로 모니터링한다.
• 온프레미스/프라이빗 AI: 기관 내부에 구축된 AI 모델은 S/C 등급 데이터를 처리할 수 있도록 설계하며, 학습 데이터에 대한 접근 권한을 엄격히 관리한다.

4.3 외부 클라우드 협업 모델 (SaaS)

Teams나 Slack 같은 협업 도구 사용 시, CASB(Cloud Access Security Broker)를 도입하여 사용자의 계정과 데이터를 통제한다. 위치나 기기 상태에 따른 조건부 접근 정책을 적용해 비인가 기기에서의 접근을 차단한다.

• CASB(Cloud Access Security Broker): 사용자와 클라우드 서비스 사이에서 보안 정책을 적용하고 데이터 가시성을 확보하는 보안 게이트웨이.

 

 

5. IT 현업에 미치는 영향

N2SF는 IT 실무자들에게 규제를 완화하면서도 보안성은 강화하도록 해준다.

• 물리적 제약 완화: 기존에는 오픈소스 패키지 하나를 받기 위해 복잡한 결재와 망연계 과정을 거쳐야 했으나, N2SF 체제에서는 승인된 리포지토리(Proxy/Mirror)를 통해 보다 유연하게 외부 자원을 활용할 수 있다.
• DevSecOps의 필수화: CI/CD 파이프라인 내에 자동화된 보안 점검(취약점 스캔, 코드 서명)이 통합된다. 이는 단순히 '망을 막는 것'보다 훨씬 능동적인 보안 체계다.
• 유연한 연구 환경: 연구 목적의 단말을 별도로 정의하고, 가명 처리된 데이터를 활용함으로써 클라우드 GPU 자원이나 최신 AI API를 활용한 실험이 가능해진다.

• CDS(Cross Domain Solution): 서로 다른 보안 등급을 가진 망 사이에서 데이터 포맷을 검사하고 안전하게 전송하는 전용 솔루션.

 

6. 결론

N2SF로의 전환에 맞춰 보안 실무자는 다음과 같은 업무를 할 수 있어야 할 것이다.

1. 자산 및 업무 재분류: 어떤 데이터가 C, S, O 등급에 해당하는지 기준을 수립한다.
2. ID 및 권한 체계 통합: 제로트러스트 구현을 위해 SSO(단일 로그인)와 MFA(다중 인증)를 선제적으로 도입해야 한다.
3. 보안 가시성 확보: 로그 수집 및 분석 체계를 강화하여 "누가, 언제, 어디서, 어떤 데이터에 접근했는지"를 실시간으로 파악할 수 있어야 한다.

 

 

참고 자료:

• 국가정보원, 「다층보안체계(N2SF) 가이드라인」
• 한국인터넷진흥원(KISA), 「제로트러스트 가이드라인 2.0」

KISA 한국인터넷진흥원

 

읽어볼만한 글:

https://www.boannews.com/media/view.asp?idx=92383

기업 보안 경계를 확장하라! 제로 트러스트 모델이란?