[컴퓨터월드] 한국인터넷진흥원(KISA)이 국가망보안체계(N²SF)를 공공분야에 본격 적용하기 위한 시범사업 3건을 발주했다. 사업들은 기존 공공분야의 물리적 망분리 일변도 정책에서 탈피, 최신 보안 기술을 기반으로 업무 중요도에 따른 등급화와 차등 보안통제를 적용하는 새 보안 패러다임을 실증하는 것이 목표다.

국가정보원은 2024년 1월 기존의 획일적 망분리 정책을 개선해 보안성과 데이터 활용성을 동시에 충족하는 N²SF로의 전환을 정식 예고했다. 망분리 정책은 지난 19년간 시행되며 대형 사이버 공격으로 인한 업무 시스템 마비를 최소화하는 효과를 거뒀지만, 최근 들어 생성형 AI와 클라우드 등 신기술 도입을 늦추는 한계를 드러내고 있다는 평가다.

6월 중 공개될 것으로 알려진 N²SF의 핵심은 정부 전산망을 ▲기밀(Classified) ▲민감(Sensitive) ▲공개(Open) 등으로 분류하고 각 등급에 맞는 차등화된 보안 대책을 적용하는 것이다. 이를 통해 △권한 △인증 △분리 및 격리 △통제 △데이터 △정보자산 등 6개 영역으로 구성된 보안통제 항목을 등급별로 선택 적용하게 된다.

시범사업 1: DPG 통합플랫폼 대상 국가망보안체계 실증

첫 번째 시범사업은 과학기술정보통신부 디지털융합촉진과 소관의 DPG 통합플랫폼(DPG 허브)을 대상으로 한다. 사업기간은 계약체결일로부터 2025년 12월 12일까지 약 6개월이며, 예산 규모는 20억 원이다. 실제 시스템 운영은 한국지능정보사회진흥원(NIA)에서 담당한다.

DPG 통합플랫폼은 분산된 민간·공공의 디지털 자원을 한곳에 모아 활용할 수 있는 민간 클라우드 기반 통합 플랫폼이다. 이번 실증사업에서는 정부 업무망과 인터넷망이 연계된 민관협력형 클라우드(PPP존)에 구축된 시스템을 대상으로 N²SF 기반 보안정책을 실증하게 된다.

실증 대상 정보시스템에 특화된 보안통제 항목 적용 방안을 제시하고, N²SF 정보서비스 모델에 따른 국가 망 보안체계를 구현한다. 특히 민감정보(S등급)와 공개정보(O등급) 등 보안등급이 다른 연계 구간을 중점으로 N²SF 보안 통제항목을 구현할 예정이다.

시범사업 2: 범정부 초거대 AI 공통기반 대상 보안체계 실증

두 번째 시범사업은 행정안전부 공공지능데이터분석과 소관의 범정부 초거대 AI 공통기반을 대상으로 한다. 사업기간은 동일하게 12월 12일까지 약 6개월이며, 예산 규모는 15억 원이다. 역시 한국지능정보사회진흥원(NIA)에서 시스템 운영을 담당한다.

범정부 초거대 AI 공통기반은 범부처 공무원이 보안 걱정 없이 활용할 수 있는 생성형 AI 서비스다. 정부 업무망에서 외부 인터넷망과 연계되는 AI로 △프롬프트 동작 △저장소 △파인튜닝 및 △데이터 플로우 분석 등의 요소가 구현될 예정이다.

실증사업은 정부 업무망과 인터넷망의 네트워크 연계 부분을 대상으로 한다. 보안 등급이 다른 연계 구간이다. 머신러닝 기반 프롬프트 필터링 등과 같은 N²SF 정보서비스 모델 기반의 보안통제 항목을 구현한다. AI 기반 프롬프트 필터, 민감정보 탐지 및 이용내역 로깅 등의 프롬프트 보안기술과 간접 호출, 단방향 네트워크 전송 등을 필수적으로 실증할 예정이다.

시범사업 3: 국가·공공기관 대상 국가 망 보안체계 실증

세 번째는 국가·공공기관을 대상으로 한 국가망보안체계(N²SF) 시범 실증사업이다. 역시 마찬가지로 사업기간은 12월 12일까지 약 6개월이며, 예산 규모는 9억 9,600만 원이다.

해당 사업을 통해서는 특허청(KIPO), 국가과학기술연구회(NST), 정보통신기획평가원(IITP), 국가보안기술연구소(NSR) 등 4개 기관을 대상으로 실증을 진행하게 된다. 각 기관의 특성에 맞는 맞춤형 보안체계를 구축하는 것이 특징이다.

특허청에서는 심사 시스템 활용 등 업무 시 생성형 AI 접근에 대한 보안요구사항을 도출하고, 업무시스템(특허넷)의 생성형 AI 접속 보안을 실증한다. 국가과학기술연구회는 클라우드 기반 통합 문서체계 도입을 위한 보안요구사항을 수립하고, 보안등급이 상이한 연계구간 위협탐지 시스템을 구현한다.

정보통신기획평가원은 생성형 AI 사용시 공개등급 업무정보만 생산 및 저장할 수 있도록 하는 보안체계를 구축한다. 마지막으로 국가보안기술연구소는 인터넷망에서 연구·행정업무 시 다양한 서비스 및 생성형 AI 활용과 관련된 보안대책을 마련한다.

N²SF 조기 적용 위해 범부처 협력…사이버 보안 기업들 ‘관심’

3개 사업 모두 일반경쟁입찰로 진행되며 평가는 기술능력평가 90점, 가격평가 10점으로 점수가 매겨진다. 이후 종합평가점수 1위 제안사를 우선협상대상자로 선정해 기술협상이 진행된다.

이번 실증사업은 국가정보원이 올해 상반기 중 N²SF를 발표하고 이를 각급 기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회, 과학기술정보통신부 및 산하기관들과 긴밀히 협조해 이뤄진다는 점에서 의미가 있다. 국내 사이버 보안 기업들 역시 신 보안 체계를 선도적으로 적용해 시장을 주도하고자 많은 관심을 보이고 있다.

특히 이번 시범사업을 통해 축적된 기술과 경험은 향후 공공기관의 AI와 클라우드 활용을 활성화하고, 공공데이터 개방과 공유를 촉진하는 중요한 기반이 될 전망이다. 또한 국내 IT 및 정보보호 시장 활성화에도 기여할 것으로 기대된다.

N2SF 관련 시범사업 참여를 준비하는 한 보안 업체 임원은 “공공부문 신 보안 체계를 앞장서서 준비할 수 있는 사업인 만큼 연초부터 미리 사업을 기대해왔다”면서 “보안 업체들 간 경쟁이 치열할 것으로 보이지만, 한편으로 업체들 간 협력 역시 긴밀하게 이뤄질 것으로 보인다. N²SF와 함께 보안 업계 연합도 공고해질 것”이라고 말했다.