1. 국가 망 보안체계 (N2SF)의 개요
- 국가 망 보안체계 (N2SF, National Network Security Framework) 보안 가이드라인 1.0 기준
(1) N2SF 추진 배경 및 목표
(2) N2SF의 개념
- 보안성 강화와 업무 연속성 보장 동시 달성 위해 보안 등급(기밀, 민감, 공개) 분류 및 차등화된 보안 대책을 적용하는 국가 보안 망 프레임워크
(3) N2SF의 등급 분류 체계
| 등급 | 대상 정보 | 관련 법령 |
|---|---|---|
| 기밀 (Classified) | 비밀, 안보, 국방, 외교, 수사 정보 및 국민 안전과 직결된 정보 | 정보공개법 제9조 제1호 ~ 제4호 |
| 민감 (Sensitive) | 공개 시 개인·국가 이익 침해가 우려되는 정보, 시스템 로그, 임시 백업 등 | 정보공개법 제9조 제5호 ~ 제8호 |
| 공개 (Open) | 기밀·민감 정보 외 모든 정보, 공개 요건을 충족하거나 비공개 필요성이 소멸된 정보 | 해당 없음 |
- 시스템이 처리하는 업무 정보의 등급과 동일하게 분류하되, 복수의 등급이 혼재된 경우 가장 높은 등급 부여하며, 인터넷 영역은 O등급, 업무 영역은 S등급, 기밀 취급 환경 등은 C등급으로 분류하는 것이 원칙
- 국가 망 보안체계는 정보화사업 추진 시 정보서비스에 대한 자체 보안대책 수립에 활용하며 ① 준비(Prepare), ② C/S/O 등급분류(Categorize), ③ 위협식별(Identify), ④ 보안대책 수립(Select), ⑤ 적절성 평가·조정(Assess) 등 5단계 절차로 구성
2. 국가 망 보안체계 (N2SF) 적용 절차
(1) N2SF 적용 절차도
(2) N2SF 적용 단계별 주요 활동
| 단계 | 주요 활동 | 수행 내용 |
|---|---|---|
| [1단계] 준비 (Prepare) | N2SF 적용계획 수립 | – 단계별 책임자 지정 및 역할·권한 정의 – 단계별 요구사항 정의, 수행일정 수립 등 |
| 기관 업무·기능 분석 | – 정부/지방기능분류체계 등 업무·기능 분석 – 정보서비스 업무·기능 식별 (레벨5 이하) | |
| 업무정보 식별 | – 생산부터 폐기까지의 업무정보 식별 – 기관 업무·기능에 대한 업무정보 관계 파악 | |
| 정보시스템 식별 | – 생산부터 폐기까지 관여하는 정보시스템 식별 – 정보시스템 구성, 업무정보 관련성 등 파악 | |
| 정보서비스 식별 | – 정보시스템 등 정보서비스 구성 및 구조 분석 – 사용 시나리오 정의, 보안목표(요구사항) 설정 | |
| [2단계] C/S/O 등급 분류 (Categorize) | 업무정보 C/S/O 등급분류 | – 준비 단계에서 식별된 업무정보에 대한 C/S/O 등급분류 |
| 정보시스템 C/S/O 등급분류 | – 업무정보의 생산·저장·처리·이동·보관·폐기 등에 관여하는 정보시스템의 C/S/O 등급분류 | |
| [3단계] 위협식별 (Identify) | 모델링 및 C/S/O 평가 | – 정보서비스 사용 시나리오 위치-주체-객체 모델링 – 보안등급 차이에 따른 보안대책 필요 여부 판단 |
| 보안원칙 적용 | – 정보생산·저장 및 이동 상황 보안대책 필요 여부 판단 및 보안대책 적용지점 식별 | |
| 보안위협 식별 | – 위치-주체-객체 모델링 및 C/S/O 평가 기반 보안등급 간 발생 가능한 보안위협 식별 | |
| [4단계] 보안대책 수립 (Select) | 보안 요구사항 도출 | – 식별된 보안위협에 대한 보안 요구사항 도출 – 보안위협과 보안 요구사항 관계 1:1, 1:N, N:1 |
| 보안통제 선택 | – 물리·관리·기술적 수단의 보안통제 항목 선택 – 보안통제 구현계획 수립, 정보서비스 구성도 작성 | |
| [5단계] 적절성 평가/조정 (Assess) | 적절성 평가 | – 중간 산출물, 자료, 지식 기반 적절성 평가기준에 따라 주요활동 적절성 평가 |
| 적절성 평가결과 협의·조정 | – 문제점이 발견된 활동과 그에 영향받는 모든 활동 재수행 후 적절성 평가 재수행 | |
| 적절성 평가결과 확인 | – 모든 평가항목 ‘적합’ 평가되며, 국정원 보안성 검토 의뢰 준비완료 여부 확인 |
- 각 활동의 수행결과는 다른 활동에 영향을 미치며, 적절성 평가·조정 단계에서 종합적으로 분석된 후 최종 산출물 완성
- 보안 통제 항목은 6개 대항목(권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산)으로 구성되며, 실제 구현 가능한 기술적 예시와 등급별 우선 검토 사항을 포함
- 보안 통제 항목 및 해설은 국가 망 보안체계(N2SF) 보안가이드라인 1.0 참조
3. 국가 망 보안체계 (N2SF) 적용을 위한 고려사항
| 구분 | 고려사항 | 세부 목표 |
|---|---|---|
| 기관 환경 반영 측면 | 기관 자율성 및 특성 반영 | – 각급 기관은 가이드라인을 준수하되, 조직의 기술적 상황(예산, 인력, 호환성)과 비기술적 여건을 반영하여 맞춤형 보안 대책을 수립 |
| 정부기능분류체계 (BRM) 연계 | – 업무 식별 시 국가기록원의 BRM 등을 활용하여 업무 중요도 판단의 객관적 기준을 확보 | |
| 가이드라인 활용 측면 | 관련 가이드라인 준용 | – N2SF 적용 시 클라우드는 「국가 클라우드 컴퓨팅 보안 가이드라인」, 생성형 AI는 「생성형 AI 활용 보안 가이드라인」 등 관련 법령과 지침을 병행하여 준수 필요 |
| 정보서비스 모델 활용 | – 가이드라인 부록에 수록된 ‘정보서비스 모델 해설서‘를 참조하여 유사한 환경 구축 시 자체 보안 대책 작성에 활용 가능 |
- 국가 망 보안체계 (N2SF) 적용에 따라 물리적 망 분리에서 데이터 중요도 기반의 차등 보안(다층 보안, MLS)으로 전환이 가속화되며, 클라우드와 생성형 AI의 공식적 허용에 따라 ZTNA 등 제로 트러스트 대응 기술 적용이 확대될 것으로 전망
[참고]
- 국가정보원, NSR(국가보안기술연구소), 국가 망 보안체계(N2SF) 보안가이드라인 1.0, 2025.9