국정원, 국가망보안체계(N²SF) 최초 발표…하반기 업무망 분리 지침 개정
국정원, 국가망보안체계(N²SF) 최초 발표…하반기 업무망 분리 지침 개정
디지털데일리 ZT콘퍼런스서 N²SF 가이드라인 소개"정보서비스 모델 추가…하반기 업무망 분리 지침 개정"20일 서울 중구 전국은행연합회에서 <디지털데일리>가 개최한 '디...
www.ddaily.co.kr
- 발표 배경 및 개요
- 2025년 2월 20일, 국정원이 '디지털 신뢰 새 패러다임, 제로트러스트 적용 전략' 콘퍼런스에서 N²SF(National Network Security Framework) 가이드라인을 최초로 공개
- N²SF는 국가망의 보안 체계를 강화하기 위한 새로운 보안 모델로, 기밀(C)·민감(S)·공개(O) 등급 분류에 따른 차등 보안을 적용
- N²SF의 주요 개념과 보안 통제 항목
- 각 기관은 다음과 같은 다섯 단계를 통해 보안 대책 수립
- 준비
- C·S·O 등급 분류
- 위협 식별
- 보안 대책 수립
- 적절성 평가 및 조정
- 보안 통제 항목은 데이터, 네트워크, 시스템, 운영체제(OS) 등 6개 영역에 180개 항목으로 구성
- 기술 수준에 맞춰 지속적으로 업데이트 예정
- 각 기관은 다음과 같은 다섯 단계를 통해 보안 대책 수립
- 접근 통제 모델
- 강제적 접근 통제(MAC, Mandatory Access Control)와 속성 기반 접근 통제(ABAC, Attribute-Based Access Control)를 결합한 하이브리드 방식
- 문서 열람 권한 및 접근 등급을 강화하고, 필요 시 외부 네트워크 연결 허용
- 업무망 분리 지침 개정
- 현재 인터넷망과 업무망 분리 의무는 국정원법과 사이버안보 업무 규정에 따라 시행 중
- 2025년 하반기 업무망 분리 지침 개정 예정
- 2026년부터 정보보안 관리 실태 평가 지표 변경 예정
- 법적 지침과 가이드라인 차이
- "지침"은 법적 효력을 가지며 강제 적용되지만, "가이드라인"은 다양한 IT 서비스 환경에 맞춘 권고 사항
- 국정원은 보안 가이드라인의 모호성에 대한 의견을 검토할 예정
- N²SF 도입 절차 및 준비 필요성
- 기존 망분리 정책(2006년 시행)은 물리적 분리를 목표로 했으나, N²SF는 네트워크 연결을 허용하는 만큼 보안 대책이 더욱 복잡해짐
- 특히 보안 기술을 운용하는 전문 기업의 참여가 중요
- N²SF는 정형화된 구현 방식이 없으며, 보안업계의 기술적 대안 제시 필요
- 결론
- N²SF는 단기적으로 모든 기관에 적용되기 어려우며, 장기적 적응 기간 필요
- 각 기관은 보안 기술 기업과 협력해 N²SF 대응 방안을 마련해야 함
- 국정원은 하반기에 정식 가이드라인 배포 예정이며, 관련 기술 및 정책 지원 강화 예정
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 글로벌 프리랜서 개발자를 노린 악성코드 유포 캠페인 '디셉티브디벨롭먼트' (1) | 2025.03.04 |
|---|---|
| 개인정보 보호법의 형사처벌 한계와 입법적 보완 필요성 (0) | 2025.03.04 |
| 가짜 캡차 공격의 실태와 예방법 (0) | 2025.03.04 |
| 불법 다운로드 게임을 통한 암호화폐 채굴 악성코드 '스타리도브리' 캠페인 (0) | 2025.03.04 |
| API 경제에서 금융 기관의 사이버보안 전략 (0) | 2025.03.04 |