이철호 엔플러스랩 대표가 4월9일 부산 수영구 호텔아쿠아펠리스에서 열린 '한국사이버안보학회 N2SF연구회 워크숍'에서 발표하고 있다. [사진=김보민기자]

[디지털데일리 김보민기자] 차세대 보안 프레임워크로 국가망보안체계(N2SF)가 등장한 지 1년이 지났지만 도입 과정에 어려움을 겪는 공공기관이 늘고 있다. 첫 단계인 데이터 분류부터 쉽지 않다는 현장 목소리도 커지는 분위기다.

N2SF 전문기업 엔플러스랩은 '공공기관 정보공개에 관한 법률(정보공개법)'에 따라 접근하는 것이 시작이 될 수 있다고 제언했다. 아울러 데이터 분류부터 적합성 평가까지 자동화할 수 있는 체계를 도입하는 것이 방법이 될 수 있다고 말했다.

이철호 엔플러스랩 대표는 9일 부산 수영구 호텔아쿠아펠리스에서 열린 한국사이버안보학회 N2SF연구회 워크숍을 통해 "N2SF에서 이야기하는 C·S·O 등급 분류는 정보공개법과 관련이 높다"고 밝혔다.

국정원은 2024년 망분리 개선 로드맵을 발표한 이후 N2SF라는 이름으로 프레임워크를 고도화하고 있다. N2SF는 업무망을 획일적으로 인터넷과 분리하는 기존 망분리 체계를 개선한 새 보안체계다. 업무정보 및 데이터를 중요도에 따라 기밀(C), 민감(S), 공개(O) 등급으로 분류하고 보안통제를 차등 적용하는 것이 핵심이다.

그러나 현장에서는 N2SF 첫 단계인 데이터 분류부터 어떻게 접근해야 좋을지 고민하는 목소리가 늘고 있다. 이 대표는 "이전에는 정보공개법 조항이 C·S·O 등급 분류라는 점을 상상할 수 없었지만 이제는 다르다"라고 강조했다.

정보공개법 제9조 3항에 따르면 공공기관은 업무 성격을 고려해 비공개 대상 정보 범위에 대한 세부 기준(비공개 세부 기준)을 수립하고 이를 정보공개시스템을 통해 공개해야 한다. 4항에 따르면 공공기관은 비공개 세부 기준이 요건에 부합하는지 3년마다 점검하고 필요한 경우 개선책을 수립해야 한다.

데이터 중요도에 따라 등급을 분류하는 N2SF와 맥을 같이하는 조항들이다. 이 대표는 이를 따른 우수 사례로 서울특별시를 꼽았다. 서울시는 공식 홈페이지를 통해 비공개 세부기준을 명시하고 있다. 비공개 대상 정보로는 분야를 분류하고 있고 여기에는 을지연습, 민방위 및 예비군 자원관리, 전시 대비, 국민 생명 및 재산 보호 등이 포함돼 있다.

다만 정보공개법에 따라 데이터 분류를 완료하더라도 N2SF 도입을 위한 후속 단계에 난항을 겪는 공공기관도 있다. N2SF 가이드라인은 자산 식별, 등급 분류에 이어 위협 식별, 대책 수립, 평가 및 조정 단계를 거치도록 권고하고 있다.

이 대표는 "위협을 식별하고 보안원칙을 적용하는 단계를 모두 손으로 할 수는 없다"며 해답으로 자동화를 제시했다. 현재 엔플러스랩은 공공기관 보안성 검토를 통과하기 위한 위험관리 기반 보안 프레임워크를 자동화하고 실무 중심 보안 기술을 구현하는 서비스를 제공하고 있다. 그 일환으로 대형언어모델(LLM) 기반 등급 분류 시스템와 N2SF 전용 위협 모델링 시스템을 지원할 계획이다.

이 대표는 이러한 자동화 방식이 N2SF 체계 내 개선점을 보완할 것이라고 시사했다. 그는 "모델링 시스템을 개발해보니 현 가이드라인에 있는 요소는 기밀성 위협을 잘 찾지만 가용성과 무결성 위협을 찾는 데 한계가 있다"고 개발 취지를 밝혔다.

한국인터넷진흥원(KISA)은 2026년도 N2SF 도입 지원 사업 공모를 진행하고 있다. 총 45억원 과제로 마련된 이번 사업은 6개 과제에 각 7억5000만원을 투입하는 방식으로 추진된다. 이와 별개로 9억9000만원 규모 N2SF 실증 사업 용역도 진행된다.

워크숍을 찾은 학회 관계자들은 N2SF가 차세대 보안으로 자리잡을 것이라고 강조했다. 손기욱 사이버안보학회 회장은 "인공지능(AI) 발전, 클라우드 확산, 제로트러스트 부상은 국가 사이버 보안 체계 전반을 근본적으로 재설계하고 있다"며 "시대적 흐름 속에서 N2SF는 대한민국 차세대 사이버보안 체계를 이끄는 핵심 프레임워크로 중요성이 커질 것"이라고 말했다.

한편 이날 현장에는 한전KDN, LG유플러스 등 주요 수요 기관을 비롯해 프라이빗테크놀로지, 투이컨설팅, SGA솔루션즈, SK쉴더스, 지니언스는 보안기업이 참여했다. KISA는 지난해 실증 성과와 추진방향, 제로트러스트 연계를 주제로 발표했다.