기사 이해를 돕기 위한 이미지 [사진=픽사베이]

[디지털데일리 김보민기자] 국가정보원이 국가망보안체계(N2SF) 정책을 담은 '국가사이버보안 기본지침'을 이르면 5월 시행한다.

국정원 담당관은 17일 서울 강남구 코엑스에서 열린 '정보통신망 정보보호 콘퍼런스(NetSec-KR)'를 통해 "국가 정보보안 기본지침이라는 명칭을 사이버보안 기본지침으로 변경한다"며 세부 내용을 공유했다.

국가 사이버보안 기본지침은 국가정보원법과 사이버안보 업무규정을 비롯해 보안업무규정, 전자정부법, 공공기록묵 관리에 관한 법률 시행령, 정보통신기반보호법 등에 의거해 개정됐다.

이번 기본지침은 지난해 국정원을 비롯한 정부 관계 부처가 발표한 '범정부 정보보호 종합대책' 일환으로 개정됐다. 국정원은 개정 지침에 대한 초안을 공공기관에 공문을 보내 의견을 수렴하고 있고, 이르면 5월 중 적용 및 시행할 예정이다.

핵심은 업무 및 데이터 중요도에 따라 등급을 기밀(S), 민감(S), 공개(O)로 분류하는 N2SF 정책을 신설한 것이다. 국정원은 기존 지침에 포함돼 있던 망분리 조항을 삭제하고 차등 보안 통제를 적용하는 방향으로 N2SF 조항을 포함시켰다.

또한 각급 사이버보안 담당관이 직무를 원활히 수행할 수 있도록 조직, 인력 및 예산 운영에 대한 규모도 명시했다. 인력의 경우 정보화업무 담당 대비 10% 이상, 예산의 경우 정보화 대비 15% 이상을 배정하도록 했다. 국정원 담담관은 "기존에는 '노력해야 한다'는 표현으로 권고에 그쳤다면 이번 대책에는 이를 의무화하도록 했다"고 말했다.

통합보안인증(SSO), 다중인증(MFA) 등도 반영됐다. 국정원 담당관은 "원격에서 접근할 때 별도 채널을 두고 투팩터 인증을 해야 함에도 불구하고 이를 갖추지 않은 상태로 멀티팩터를 구현했다고 이야기하는 분들이 있다"며 "(이러한 대처가) 사고 원인이 되기도 한 만큼, 명확하게 강화한 인증체계를 사용하도록 할 것"이라고 설명했다.

보안 소프트웨어(SW) 강제 설치를 최소화하고, 단말관제체계(EDR)를 확대하는 내용도 담겼다. 아울러 암호자재 및 장비 관련 운영 근거도 반영됐다. 국방을 비롯해 특수 용도로 별도 개발한 시스템의 경우 비밀관리시스템으로 분류되며 국가정보원장과 사전 협의 후 비밀 전자적 처리 규격을 준수하도록 했다.

범위와 대상이 불분명했던 용어도 개정됐다. 정보보안을 넘어 '사이버'를 강조한 것이 특징이다. 정보보안 담당관은 사이버보안 담당관으로, 정보보안 실태평가는 사이버보안 실태평가로 명칭이 바뀐다. 국가보안관제체계는 통합보안관체체계로 바뀐다.

국정원 담당관은 "급변하는 인공지능(AI) 환경에 맞춰 이번 공공 보안대책을 마련했다"며 "시급한 사항이 발생할 때마다 지속적으로 개선하고, 각급 기관이 새 보안 위협에 대응하도록 노력하겠다"고 말했다.