정부가 획일적인 망분리 정책을 개선하는 방안으로 다층보안체계(MLS) 전환을 내놨다. 공공 업무 중요도에 따라 옥죌 건 더 옥죄고 풀어줄 건 풀어 인공지능(AI)·클라우드 등 신기술을 활용할 수 있도록 해 더 나은 공공서비스를 제공하겠다는 게 핵심이다. 산·학·연 의견수렴을 거쳐 올해 안에 로드맵을 최종 확정하고 내년부터 시행할 예정이다.
국가정보원은 11일 국제 사이버안보 행사 'CSK 2024'에서 '대한민국 사이버안보 정책 방향' 컨퍼런스를 열고, 다층보안체계(MLS) 전환 로드맵(안) 등 주요 사이버안보 방책방향을 공개했다.
앞서 윤석열 대통령은 지난해 12월 “AI시대 폭넓은 공공데이터 활용체계를 갖추라”며 망분리 정책 개선 필요성을 제기했다. 이에 국정원은 올해 초부터 디지털플랫폼정부위원회·금융위원회·개인정보보호위원회 등 관계기관과 산·학·연 전문가가 참여한 '국가 망보안정책 개선 태스크포스(TF)'를 구성했다. 이번 로드맵은 TF가 '디지털플랫폼정부(DPG) 코리아 위드 MLS(Korea with MLS)'를 슬로건으로 내걸고 다양한 의견수렴 과정을 거쳐 내놓은 결과물이다.
MLS는 데이터 활용과 보안성 모두를 따져 업무 중요도에 따라 기밀(Classified)·민감(Sensitive)·공개(Open) 등급으로 분류하고, 망분리, 제로 트러스트, 그 밖의 기술 등을 차등 적용하는 게 골자다.
◇MLS 적용절차, 데이터 생성·이동 기준 등 제시
국정원은 이번 로드맵에서 MLS 적용 절차를 제시했다. 절차는 △준비 △C·S·O 등급분류 △정보서비스 모델링 △보안대책 수립 △적절성 평가·조정 등 5단계로 구성됐다.
먼저 MLS 적용을 위한 현황을 파악해 분석한 이후 정보시스템을 대상으로 C·S·O 등급을 분류한다. C는 비밀, 안보·국방·외교·수사 등 기밀정보와 국민생활·생명·안전과 직결된 정보가, S는 비공개 정보 등 개인·국가 이익 침해가 가능한 정보가 해당된다. O는 원칙적으로 C·S를 제외한 모든 정보와 함께 가명 처리 등을 조치한 행정·민감정보를 말한다.
등급 분류를 마치면 정보서비스 구성 환경을 모델링한 뒤 평가를 거쳐, 보안원칙에 따라 보안통제를 선정한다. 끝으로 등급 분류·보안통제에 대해 적절성을 평가하고 재조정한다.
국정원 측은 리스크 관리 프레임워크(RMF·Risk Management Framework), 제로 트러스트 등을 기반으로 국내 여건을 반영해 최적화한 것이라고 설명했다.
국정원 관계자는 “정보시스템에 C·O 등 정보가 복수로 저장돼 있다면 최상위 등급으로 분류하는 게 원칙”이라면서 “다만 과도하게 상위 등급으로 분류할 수 있기 때문에 등급별 분리 권고를 원칙으로 하고 있다”고 말했다.
등급 간 데이터 생성과 이동에 관한 맵핑도 제시했다. 예를 들어 O등급 정보시스템에서 동일한 등급인 O등급 정보를 생산할 수 있지만 보호 조치 없이 상위 등급(C·S) 정보를 생산할 수 없다. 정보 이동도 마찬가지다. 동일등급 또는 상위 등급 이동은 자유롭지만, S등급 정보의 O등급 정보시스템 이동 시 보호 조치 기준을 명시하고 있다.
◇'정보서비스 모델 8개' 추진과제 선정…내년 시범 사업으로
로드맵에선 보안성을 놓치지 않으면서 MLS로 전환하기 위해 정보서비스 모델 8개를 추진과제로 선정했다. 이 과제들은 내년부터 디지털플랫폼정부위원회 주관으로 시범사업으로 추진된다.
우선 디플정위원회·행정안전부 등이 추진하는 범정부 초거대 AI와 공공데이터를 융합해, 민간에서도 공공데이터를 활용하는 기회를 확대한다. 또 문서편집기, 협업용소프트웨어(SW), 클라우드 및 기타 필요한 SW, 챗GPT 등 생성형 AI서비스, 외부 클라우드 협업도구(SaaS), 개발에 필요한 오픈소스 등을 업무에 활용할 수 있도록 할 예정이다. 특히 정부기관 내·외부에서 단말 유형에 관계 없이 통합 문서체계를 활용해 업무자료 생산·공유·협업이 가능하도록 한다는 게 목표다.
국정원은 올해까지 MLS 전환 기반을 마련, 내년부터 본격적인 시행과 함께 고도화하고, 2026년부터 MLS 전환에 속도를 낼 방침이다. MLS 전환에 따라 공공부문 보안검증도 개편한다. 현행 가·나·다 그룹을 CSO 분류 개념에 맞춰 보안검증제도를 일괄 정비한다. 올해 안에 개편안을 마련하고 내년 산업계 의견 수렴을 거쳐 늦어도 2026년까지 시행할 계획이다. 공공기관을 대상으로 한 사이버보안 실태평가도 개편한다.
국정원 관계자는 “업무 단말에서 AI·클라우드 등 신기술 활용으로 업무 효율성 향상 및 국민에게 더 나은 공공서비스를 제공할 수 있다”면서 “제로 트러스트 등 다양한 보안기술 수요 증가로 인한 정보보안 산업 확대와 AI·클라우드·데이터 산업 분야의 경제 창출도 예상된다”고 말했다.
◇공공분야에 국제표준암호 'AES' 허용
국정원은 전 공공분야에 국제 표준 암호화 알고리즘 'AES'도 허용하기로 했다.
그간 '암호모듈 검증제도'(KCMVP)에서 국내에서 개발한 암호(SEED·ARIA·HIGHT·LEA)만 허용해 왔다. 하지만 AES가 전 세계에서 가장 많이 사용하는 암호 알고리즘이 되면서 기업은 수출을 위해 제품에 AES를 탑재해야 하는 상황에 직면했다.
국정원은 지난달 검증위원회 심의를 거쳐 AES를 허용을 최종 결정했다. 다만, 산업계와 시험기관의 준비기간을 고려해 2026년 1월부터 시행할 예정이다.
국정원 관계자는 “국내 업체의 수출 경쟁력 강화와 개발 편의성이 증대할 것으로 기대한다”면서 “미국이 무역장벽보고서 등을 통해 AES 허용을 10년 이상 지속 요청해 온 만큼 무역장벽 논란도 해소될 것”이라고 말했다.
이 관계자는 또 “AES를 탑재한 외산 제품을 주요 공공분야에 도입하기 위해선 암호모듈이 안전하게 구현됐는지 국정원 검증을 받아야 한다”며 안보 우려도 일축했다.
조재학 기자 2jh@etnews.com