[이슈플러스]다중계층보안(MLS) 핵심 '데이터 중요도 분류', 미국과 영국은

ⓒ게티이미지뱅크

정부가 데이터 중요도에 따라 보안 정책을 차등 적용하는 다중계층보안(MLS)으로 국가 사이버 안보 체계를 전환하고 있다. 그동안 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다는 지적이 나옴에 따라 데이터를 중심으로 보안 정책을 재설계하는 것이다. 국가 안보에 필요한 기밀 정보와 시스템은 보안을 강화하는 한편 풀어줄 건 풀어 신기술을 적극 도입하겠다는 게 핵심이다.

MLS는 구체적으로 △기밀(C·Classified) △민감(S·Sensitive) △공개(O·Open) 등 세 단계로 나눈다. 기밀정보는 비밀·안보·국방·외교·수사 등 기밀 정보와 국민 생활·생명·안전과 직결된 정보를 의미한다. 민감정보는 비공개 정보 등 개인·국가 이익 침해가 가능한 정보가, 공개정보는 원칙적으로 기밀·민감정보를 제외한 모든 정보와 함께 가명 처리 등을 조치한 행정·민감정보가 해당된다.

일각에선 데이터 분류 기준을 보다 명확히 제시해야 한다는 목소리가 나온다. 개별 기관이 데이터 분류 기준을 마련하기 어렵다는 것이다. MLS 전환을 주도하고 있는 국가정보원이 확실한 기준을 제시하기보다는 기관별로 상황에 맞게 데이터를 분류하는 방향으로 가닥을 잡고 있어서다. 급기야 정보보호 현장에서 면피성으로 모든 데이터를 기밀정보로 분류할 수 있다는 볼멘소리까지 나온다.

하지만 미국·유럽 등 선진국은 데이터를 중요도에 따라 분류하고 있다. 한국도 데이터가 쌓이는 속도를 감안하면 더 늦기 전에 데이터 중심 보안으로 중심축을 옮겨야 한다. 정부가 추구하는 디지털플랫폼정부로 나아가기 위해선 더욱 그렇다.

◇미국·영국, 일찌감치 공공 데이터 분류 체계 마련

미국 국립표준기술연구소(NIST)는 조직 미션에 적용되는 정보와 정보시스템의 기밀성, 무결성, 가용성에 대한 잠재적 영향을 기반으로 3단계 분류 체계를 개발했다. 공공 분야에서 처리·저장되는 데이터는 조직·자산에 미치는 영향에 따라 낮음(Low), 중간(Moderate), 높음(High)으로 나눈다. 2015년 기준 미국 연방 부서와 기관은 정보 시스템의 88%를 중간과 낮음으로 분류했다.

워싱턴DC의 경우 민감한 데이터를 보호하면서도 투명성을 제고하는 데 초점을 둔 새로운 데이터 정책을 2017년 시행했다. 레벨 0~4로 총 5단계에 걸쳐 데이터터를 분류한다. 레벨 0인 오픈 데이터는 대중이 정부 웹사이트와 데이터셋을 통해 손쉽게 이용할 수 있다.

영국은 2014년 공공 데이터 분류 체계를 6개에서 3개로 간소화했다. 오피셜(Official), 시크리(Secret), 톱 시크릿(Top Secret)로 구분하는데, 2013년 영국 내각부 브리핑에 따르면 데이터의 약 90%가 오피셜로 분류됐다.

◇MLS 전환은 시대의 흐름…“준비 안됐다면 뒤처질 수도”

MLS 전환은 거스를 수 없는 시대의 큰 흐름이다. 특히 디플정과 맥을 같이 한다. 국정원이 지난달 발표한 MLS 전환 로드맵에서 '디지털플랫폼정부(DPG) 코리아 위드 MLS(Korea with MLS)'를 슬로건으로 내걸은 이유도 여기에 있다.

디플정은 기존의 전자정부를 넘어 정부의 디지털 서비슬 데이터·AI 등으로 확장하겠단 취지다. 데이터 활용을 높인다는 디플정 실현 목적을 살리는 동시에 디지털 전환으로 인해 늘어나는 공격표면에 대응해 보안성을 강화하는 것이 바로 MLS 전환이다.

정보보호산업계는 정부가 열어 준 길을 어떻게 활용하냐는 기관의 정보보호 역량에 달렸다고 입을 모은다.

한 사이버보안기업 대표는 “보안을 전제로 되도록 낮은 단계로 데이터를 분류해 활용도를 높인다면 더 나은 서비스를 제공할 수 있을 것”이라며 “시간이 지날수록 기관 역량은 정보보호에 달릴 것으로 보인다”고 말했다.

◇MLS 전환 '보안 약화' 아냐…데이터 활용도↑

일각에선 망분리 정책 개선이 보안 약화로 이어질 수 있다는 우려가 나온다. 가장 확실한 보안 정책인 망분리에 손을 대면 보안성은 떨어질 수 밖에 없다는 것이다.

국정원은 이 같은 지적에 대해 기우라고 일축한다.

윤오준 국정원 3차장은 지난 8월 기자간담회에서 “제도를 개선하려는 측면에서 시작된 작업으로, 기술·안보가 강화되는 측면이 있지 보안완화라는 해석은 곡해”라면서 “망분리를 절대 고수해야 하는 국방·외교 등 보안을 강하게 유지하되, 보다 자유로운 AI·데이터 활용이 필요한 분야엔 보안을 고려하면서 (MLS 개선안을) 도입하자는 취지”라고 설명했다.

미국과 영국의 공공 데이터 분류 체계

조재학 기자 2jh@etnews.com