Kant's IT/Issue on IT&Security
N²SF 도입과 CSAP 간 중복 규제 논란 및 보안 정책 변화 분석
Kant Jo
2025. 5. 26. 09:00
공공 망보안, 19년 만에 확 바뀐다…보안 기업 시장 확대 '기대'(上) [N²SF]
공공 망보안, 19년 만에 확 바뀐다…보안 기업 시장 확대 '기대'(上) [N²SF]
국가정보원이 7월 '국가망보안체계(N²SF)'를 시행한다. 2006년 도입된 물리적 망분리 정책이 19년 만에 대대적으로 개편되는 것이다.N²SF(National Network Security Framework)는 디지털 전환(DX) 시대에 맞춰
it.chosun.com
# CSAP와 중복 규제 우려...기업 “이중 부담” 호소(下) [N²SF]
CSAP와 중복 규제 우려...기업 “이중 부담” 호소(下) [N²SF]
국가정보원의 국가망보안체계(N²SF)가 7월 시행되는 가운데 기존 과학기술정보통신부의 클라우드 보안인증제(CSAP)와의 중복 규제 우려가 확산되고 있다. 공공 부문 디지털 혁신 기대감 속에서도
it.chosun.com
- N²SF 개요 및 시행 배경
- 국가정보원은 2006년 도입한 물리적 망분리 정책을 2025년 7월부터 '국가망보안체계(N²SF)'로 대체
- 디지털 전환, 클라우드, 생성형 AI 환경에 대응해 정보시스템 중요도별 차등 보안 적용
- 등급은 기밀(C), 민감(S), 공개(O)로 분류하며, 중요도별 망분리 방식과 보안통제 항목 적용
- CSAP와의 구조적 유사성 및 규제 충돌 우려
- 과기정통부의 CSAP(Cloud Security Assurance Program)는 민간 클라우드 서비스 보안인증 제도
- CSAP는 ‘상-중-하’, N²SF는 ‘C-S-O’로 구분되며, 등급 분류 체계 및 보안 요건의 유사성 존재
- N²SF 도입으로 공공기관과 기업은 중복 인증·감사 부담 증가 우려
- CSAP 인증 비용: 컨설팅 포함 수천만 원, 추가로 N²SF 준비 시 비용·인력 리소스 부담
- 인증 대상 구분 기준과 평가 체계가 불명확하여 현장 혼란 발생
- 국정원·과기정통부 입장 차이
- 국정원: N²SF는 공공기관 정보시스템 보안 프레임워크이며, CSAP는 민간 클라우드 인증으로 법적 기반과 목적이 다르다고 명시
- 과기정통부: CSAP는 유지하되, N²SF 기준을 반영해 인증 항목을 개정할 계획
- 기존 CSAP 인증 제품은 유효기간까지 N²SF 내에서 유효함을 보장
- 업계의 통합 및 협업 요구
- CSAP와 N²SF 간 호환 가능한 통합 가이드라인 요구
- 정책 혼선을 막기 위해 CSAP와 N²SF의 등급 분류 체계와 보안 항목 매핑 필요
- 공급자와 수요자 의견을 반영한 현실적인 가이드라인 필요
- 국내 보안 산업 영향과 글로벌 경쟁 환경
- N²SF 도입으로 공공부문 클라우드·AI 도입 증가 → 클라우드 보안 시장 확대 전망
- 한국IDC: 2027년 클라우드 보안 시장 5천억 원 이상 성장 예상
- 공개(O) 등급 시스템에서 외산 CSP 도입 허용 → AWS, Microsoft, Google 등 경쟁 심화
- 국내 보안 솔루션 기업의 기술 고도화 및 글로벌 수준 대응력 요구됨
- 일부 분석에 따르면 망분리 완화는 미국의 무역장벽 지적에 대한 외교적 고려 가능성 내포
- N²SF 도입으로 공공부문 클라우드·AI 도입 증가 → 클라우드 보안 시장 확대 전망
- 보안 기업 대응 전략
- 하이브리드 환경에 최적화된 자산 식별, 위협 분석, 자동 대응 역량 확보 필요
- N²SF 적용 가능한 통합 보안관제, 정책 기반 자동화, 위협 인텔리전스 연계 솔루션 필요
- 초기 컨설팅 수요 대응을 위한 협업 모델, 기술지원 서비스 강화 필요
- 결론
- N²SF는 19년 만의 망분리 정책 개편으로, 공공 부문 정보보호 정책의 근본적 전환점
- 클라우드·AI 활용과 보안의 균형을 위한 제도이나, CSAP와의 중복 문제는 명확한 통합 가이드라인 마련이 시급
- 보안 생태계 내 민간과 공공, 국내외 공급자의 균형적 성장과 기술경쟁력 확보를 위한 정부-업계 간 협업 체계 강화 필요