N2SF, 업무 중요도에 따라 등급 분류 후 보안 적용 공무원 PC도 생성형 AI 활용 가능해진다...공공기관 업무 혁신
AI와 클라우드 확산으로 사이버 공격의 방식도 빠르게 바뀌고 있다. 예전에는 특정 서버나 시스템을 노리는 해킹이 많았다면, 최근에는 소프트웨어 공급망이나 클라우드 인프라처럼 서비스 전체 구조를 겨냥하는 공격이 늘고 있다. 이 같은 변화에 대응하기 위해 정부도 보안 정책을 손질하고 있다. 정부는 클라우드 보안 모델인 N2SF와 소프트웨어 구성요소 관리 체계인 SBOM 도입을 추진하며 보안 정책 전환에 나섰다. 실증사업과 기업 지원도 확대되는 가운데 국내 보안기업에는 새로운 시장 기회가 열릴 수 있다는 기대도 나온다. 다만 관련 분야는 이미 글로벌 기업들이 강세를 보이고 있어 국내 기업들의 경쟁력 확보는 과제로 남아 있다. 머니투데이방송 MTN은 N2SF와 SBOM 정책 추진 배경과 의미, 그리고 국내 보안 산업에 미칠 영향을 살펴본다.[편집자주]
국가정보원이 '2026 사이버보안 실태평가 설명회'를 통해 AI 관제·N2SF 구축 등 신기술 활용도 평가에 반영하겠다고 밝혔다./사진=국가정보원
AI와 클라우드 확산으로 공공기관 업무환경과 보안 요구가 빠르게 바뀌고 있다. 기존에는 내부망과 외부망을 물리적으로 분리하는 '망분리' 보안이 중심이었다. 하지만 이 구조는 생성형 AI를 활용한 문서 작성이나 외부 클라우드 자료 접속 등 현대적 업무 방식에는 큰 제약이 된다.
이에 정부는 국가망보안체계(N2SF) 기반의 보안 모델을 제시하고, 클라우드·AI 시대에 맞는 보안 체계로의 변화를 본격화하고 있다. N2SF는 공공기관 정보시스템과 데이터를 보호하기 위해 업무 중요도와 민감도에 따라 보안을 차등 적용하는 차세대 보안 체계다.
◆업무 중요도에 맞춰 보안 적용...AI·클라우드로 업무 혁신
기존처럼 내부망과 외부망을 단순히 물리적으로 분리하는 방식이 아니라 데이터 중요도, 업무 특성, 사용자 및 시스템 위험도를 종합적으로 고려해 보안 정책을 유연하게 적용하는 것이 핵심이다. 데이터는 기밀(C), 민감(S), 공개(O) 등급으로 구분해 관리한다. 업무 중요도에 따라 그에 걸맞는 보안 시스템을 적용하면 생성형 AI나 외부 클라우드 자료도 활용할 수 있도록 업무 혁신을 이루겠다는 목표다.
과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 이러한 보안 모델을 실제 공공 환경에 적용하기 위해 공공기관을 대상으로 N2SF 실증사업을 진행하고 있다. 실증사업은 보안 등급 분류와 통제 설계, 실제 운영 환경 검증까지 포함해 공공기관의 제도 도입을 지원하는 것이 목적이다.
대표적인 적용 사례로는 국가과학기술연구회가 있다. 연구회는 공간 제약 없이 단말을 활용하고 생성형 AI를 사용하기 위해 N2SF를 시범 적용했다. 보안성이 확보된 온북(구름OS)을 활용하고 청사 내외부에서 전산망 접속이 가능하도록 문서 보안 등급을 개인과 부서에 따라 차등 적용했다. 개인용 문서는 생성형 AI 서비스와 연계해 활용할 수 있도록 별도의 보안 통제 항목도 마련했다.
이 같은 움직임은 국내 보안산업에도 구체적 기회를 제공할 수 있다. 특히 N2SF 모델 구현을 위해 필요한 다양한 기술·솔루션 영역은 전통적 보안기업의 영역과 상당부분 맞닿아 있다.
◆N2SF 가이드라인에 맞춘 보안 기술 경쟁
N2SF 보안 가이드라인에 따르면 공공·금융·기업·학교·병원 등 개인정보를 다루는 기관이 생성형 AI나 외부 인터넷 기반 클라우드 업무 시스템을 사용하려면 사용자 단말 인증과 접속 기록 관리 등 다양한 보안 통제를 갖춰야 한다. 특히 패스워드 공유를 방지하기 위한 인증 매체 사용과 접속 기록 보존이 요구된다.
또 생성형 AI나 외부 인터넷 사용 시에는 보안 정책이 적용된 전용 단말을 사용하거나 RBI(Remote Browser Isolation), VDI 등 외부 해킹을 차단할 수 있는 보안 절차를 준수해야 한다. 이 같은 정책 변화는 국내 보안기업들에게 새로운 사업 기회를 제공하고 있다.
제이피솔루션은 이알마인드와 협력해 패스워드리스 인증 솔루션 '쿠스토(CUSTO)'와 웹 격리 솔루션 '스펙터(Spector)'를 연동한 통합 보안 인프라를 제안하고 있다. 양사는 국가정보원이 발표한 N2SF 가이드라인에 맞춰 단말 인증과 접속 기록 관리, 외부 웹 접속 통제를 통합 제공하는 공동 상품화를 추진 중이다.
데이터 보안 기업 파수도 N2SF 대응 기능을 주요 솔루션에 추가하며 공공 시장 공략에 나섰다. 파수는 데이터 보호 솔루션 '파수 엔터프라이즈 DRM(FED)'과 개인정보 관리 솔루션 '파수 데이터 레이더(FDR)'에 N2SF 지원 기능을 적용한 신규 버전을 출시했다.
FED는 로컬과 클라우드 환경에서 통합 정책 관리가 가능한 데이터 보호 솔루션으로 텍스트 문서, CAD 설계도면, PDF, 이미지 등 다양한 파일을 생성부터 폐기까지 보호한다. 특히 N2SF 문서 등급(C·S·O)을 연동해 업무 시스템에서 부여된 보안 등급이 다운로드 이후에도 유지되도록 했다. 문서를 AI 서비스에 업로드할 때 등급에 따라 차단하거나 허용하는 기능도 제공한다.
FDR은 조직 내 PC, 맥, 파일 서버 등에 저장된 데이터를 식별하고 자동 분류하는 솔루션으로 N2SF 등급 기준을 적용해 조직 전체 데이터 현황을 파악하고 등급별 보안 정책을 적용할 수 있도록 지원한다.
◆제로트러스트·망연계 보안 시장 확대
망연계 보안 기업 한싹도 N2SF와 제로트러스트 환경에 대응하기 위한 제품 개발을 확대하고 있다. 한싹은 차세대 망연계 솔루션과 분리망 보안통제시스템(CDS), 통합접근제어 솔루션 '패스가드 AM', SSL 가시성 솔루션 등을 중심으로 공공 및 민간 시장을 공략하고 있다.
한싹은 제로트러스트의 핵심 원칙인 '모든 트래픽을 신뢰하지 않고 매 접근마다 검증하는 구조'를 기반으로 N2SF 환경에서 요구되는 다층 보안 통제 체계를 구현하는 데 집중하고 있다.
보안관제 분야에서는 이글루코퍼레이션이 N2SF 대응 전략을 강화하고 있다. 이 회사는 AI 기반 하이브리드 확장형 탐지·대응 플랫폼 '스파이더 이엑스디(SPiDER ExD)' 고도화를 추진하며 N2SF와 제로트러스트 환경 대응을 핵심 사업으로 삼고 있다. 또한 사내에 N2SF 데모룸을 구축해 공공기관의 보안 요구사항을 검증할 수 있는 지원 체계를 마련했다.
웹 보안 분야에서는 모니터랩과 엔플러스랩이 N2SF 및 제로트러스트 사업 협력을 위한 업무협약을 체결했다. 모니터랩의 SSE·ZTNA 기술과 엔플러스랩의 N2SF 자동화·위험관리 컨설팅 역량을 결합해 공공기관 대상 공동 사업 모델을 확대한다는 계획이다.
보안 검증 분야에서도 협력이 활발하다. 엔키화이트햇은 엔플러스랩과 전략적 파트너십을 맺고 N2SF 기반 보안통제 환경에 대한 취약점 진단과 모의해킹 서비스를 제공한다. 공공기관이 단순한 가이드라인 준수를 넘어 실제 공격 환경에서 보안 체계가 작동하는지를 검증해야 하는 요구가 커지고 있기 때문이다.
◆N2SF 시장 확대 기대
보안 솔루션 기업들의 협력도 이어지고 있다. 앤앤에스피는 엔플러스랩과 공공기관 N2SF 도입 사업 협력을 위한 업무협약을 체결하고 컨설팅·구축·실증까지 연계한 사업 모델을 추진 중이다. 앤앤에스피는 서로 다른 보안 영역 간 데이터 이동을 통제하는 핵심 기술인 크로스도메인솔루션(CDS)을 보유하고 있다.
또 프라이빗테크놀로지는 디지털플랫폼정부 통합 플랫폼 대상 N2SF 실증사업과 제로트러스트 시범사업을 수행하며 기술 역량을 확보했다. 악성코드 탐지 기업 시큐레터 역시 N2SF 환경에서 중요성이 커지는 비실행 파일 기반 악성코드 탐지 기술을 기반으로 시장 확대를 추진하고 있다.
업계에서는 N2SF가 단순한 보안 기술이 아니라 국가 차원의 새로운 보안 기준으로 자리 잡을 가능성이 크다고 보고 있다. 정부와 KISA의 N2SF 실증사업은 공공 보안 체계 전환을 위한 시험대이자 국내 보안기업에게는 공공 클라우드 보안 시장을 선점할 기회가 될 것으로 전망된다.
N2SF 실증 사업을 맡은 권혁 KISA AI정부보호팀장은 "지난해 업무환경에서 생성형 AI를 활용하는 모델 실증을 많이했고. 모델 융합 형태로 실증. 보안통제 구현 위해 단말이나 서비스 형태에 따라 제로트러스트 기술, AI 프롬프트 필터링 기술 등 새로운 보안 기술들을 적용하고 기존 보안장비들과 융합해 돌아갈 수 있도록 사업을 실증했다"고 말했다.
이어 "지난해 실증사업을 통해 어떻게 적용해야 하는지 레퍼런스를 발굴했고, 이 발굴한 케이스들에서 2월부터는 사례도 공개했다"며 "이제 새로운 모델을 지원해야 하고 기존 모델은 확산하는 정책으로 갈 것"이라고 설명했다.
