Q: 공공기관이 국가망보안체계(N²SF) 정책이 시행되면 방화벽 설치만으로 충분할 수 있다고 보고 올해 예정된 망연계(망간자료전송) 사업을 보류했다고 한다. 해당 공공기관이 정책을 제대로 이해한 게 맞는 건가. (정보보호 기업 관계자)
A: 주요정보통신기반시설은 정보통신기반보호법에 따른 보안 요건을 우선 준용해야 한다. 원칙적으로 망분리 정책을 적용해야 하고 이에 따라 망연계가 필요한 기관은 사용해야 한다. (국가정보원 관계자)
정부가 망분리 개선 정책을 추진하면서 '짝궁'인 망연계 솔루션을 주력 상품으로 하는 정보보호기업 앞날에 먹구름이 끼었다는 우려가 나온다. 하지만 국가망보안체계 목표가 망분리 폐지가 아니라 중요도에 따라 보안을 차등 적용하도록 해 공공기관에 자율성과 책임을 준 데다 중요한 영역은 더 강력한 보안이 필요하기에 기회가 될 수 있다는 목소리도 나온다.
8일 정보보호산업계에 따르면, 국정원이 정부기관과 산업계 등을 대상으로 개최한 국가망보안체계 설명회에서 자주 묻는 질문(F&Q)은 '이제 망분리가 필요 없어진 것이냐'는 물음이다.
국정원은 이에 대해 국가망보안체계가 다양한 보안 대책을 인정하는 개념이지만 망분리를 없애는 게 아니라고 설명한다. 획일적인 망분리 정책을 고수하는 건 아니지만 중요한 요소엔 반드시 망분리를 적용해 보안성을 확보하는 게 중요한 대책이 될 수 있다는 것이다.
실제 국가망보안체계 가이드라인 부록으로 발표되는 통제항목 해설서에도 '분리·격리'가 '시스템 권한', '계정', '식별', '인증', '로그인', '정보흐름' 등과 함께 포함된다. 하드웨어 기반 물리적 분리와 운영체계(OS)·소프트웨어 기반 논리적 분리 등이 여전히 주요 보안 통제항목이다.
김일용 앤앤에스피 대표는 “국가망보안체계가 망분리를 없애는 게 아니기 때문에 기존에 망분리·망연계 시장은 지속될 것”이라며 “공공분야에서도 클라우드·생성형 인공지능(AI) 활용도를 높임에 따라 새로운 보안 시장이 형성될 것으로 본다”고 말했다.
망연계 사업을 영위하는 기업의 움직임도 분주하다. 한싹이 대표적이다. 한싹은 국방망 보안통제시스템 시큐어게이트 CDS, 접근제어 솔루션 패스가드AM, 물리적 일방향 망연계 솔루션, SSL 가시화 솔루션 등으로 라인업을 꾸렸다.
특히 기밀(C)·민감(S)·공개(O) 등 등급 간 데이터 이동에서 새로운 기회를 엿보고 있다.
한싹 관계자는 “등급 간 자료 유통 체계에 필요하기에 기존에 보유한 솔루션에 새로운 시장이 창출될 것”이라면서 “기존의 망연계 솔루션에 최신 보안 트렌드인 제로 트러스트와 같은 기능을 계속 추가하고 있다”고 말했다.
조재학 기자 2jh@etnews.com
