N²SF란 무엇인가 — 공공기관 보안의 새 패러다임 완벽 정리

1. 왜 지금 N²SF인가 — 망분리의 한계

N²SF를 이해하려면 먼저 기존 체계가 왜 한계에 부딪혔는지부터 살펴봐야 합니다.

한국 공공부문의 보안 체계는 오랫동안 물리적 망분리를 기본 원칙으로 삼아왔습니다. 인터넷에 연결된 외부망과 업무용 내부망을 물리적으로 분리하고, 두 망 사이의 정보 이동을 엄격히 통제하는 방식입니다. 「전자정부법」, 「국가정보보안기본지침」 등이 이 원칙을 뒷받침했고, 공공기관 정보화 사업의 거의 모든 RFP가 망분리를 전제로 작성되어 왔습니다.

이 체계는 단순하지만 강력했습니다. 두 망 사이에 물리적 경계가 있으므로, 보안 통제가 단순하고 위반 여부 판단도 명확했습니다. 사이버 위협의 절대 다수가 외부 인터넷을 경유한다는 점에서, 이 경계를 차단하는 것만으로도 상당한 보안 효과를 얻을 수 있었습니다.

그러나 시대가 변했습니다. 두 가지 흐름이 망분리의 효용을 약화시켰습니다.

• 첫째 — 업무 환경의 클라우드·SaaS 전환: 행정 업무는 점점 더 외부 서비스에 의존하고 있습니다. 클라우드 협업 도구, SaaS 행정 시스템, 외부 데이터 연계 — 이 모든 것이 망분리 원칙과 충돌합니다. 망분리를 엄격히 유지하면 클라우드를 쓸 수 없고, 클라우드를 쓰려면 망분리를 우회해야 합니다.
• 둘째 — 생성형 AI의 등장: ChatGPT, Claude, Gemini 같은 외부 AI 서비스가 업무 효율성에 결정적 영향을 미치기 시작했고, 직원들은 이를 활용하고 싶어합니다. 그러나 망분리 체계에서는 이 모든 AI 서비스가 "사용 불가" 영역이었습니다. 결과적으로 직원들이 개인 단말에서 비공식적으로 AI를 사용하는 섀도우 AI 현상이 광범위하게 발생했습니다. 기관은 보안을 지켰다고 믿지만, 실제로는 통제 바깥에서 AI 사용이 이루어지고 있는 상황입니다.

국가정보원과 국가보안기술연구소(NSR)는 이런 시대적 변화를 인식하고, 망분리를 대체할 새로운 보안 체계를 설계했습니다. 그 결과물이 N²SF입니다.

2. N²SF의 정의와 핵심 개념

N²SF는 National Network Security Framework의 약자로, 한국어로는 국가 망 보안체계로 번역됩니다. 한 줄로 정의하면 다음과 같습니다.

정보의 중요도와 시스템의 역할에 따라 보안 통제를 차등 적용하여, 신기술 활용과 보안을 동시에 달성하는 공공부문 보안 프레임워크.

이 정의에서 핵심은 "차등 적용"입니다. 모든 정보와 시스템에 동일한 통제를 적용하던 망분리 시대와 달리, N²SF는 정보의 성격에 따라 통제의 강도를 다르게 가져갑니다. 가장 민감한 정보에는 가장 강한 통제를, 덜 민감한 정보에는 그에 맞는 적정 수준의 통제를 적용합니다.

이런 사고 방식을 보안 업계에서는 다중계층보안(MLS, Multi-Layered Security)이라고 부릅니다. 단일한 경계로 모든 것을 차단하는 대신, 정보 자산의 가치와 위협 모델에 따라 여러 층의 보호를 차등적으로 적용하는 접근입니다. 미국 국방부의 정보 분류 체계, NATO의 보안 등급 체계, EU의 EU Restricted/Confidential/Secret 분류 등이 모두 비슷한 사고에 기반하고 있습니다. N²SF는 이런 국제적 흐름을 한국 공공부문 환경에 맞게 구체화한 결과물입니다.

N²SF의 3대 구성 요소

N²SF를 실무에 적용할 때는 다음 세 가지를 차례로 다루게 됩니다.

1. 정보 등급 분류 (C/S/O): 우리 기관이 다루는 정보가 어느 등급에 해당하는지 식별
2. 「위치-주체-객체」 모델링: 정보서비스가 어떻게 구성되는지 분석
3. 보안원칙과 통제 적용: 모델링 결과에 따라 적합한 보안 통제를 선택·적용

세 요소를 하나씩 자세히 살펴보겠습니다.

3. C/S/O 등급 — N²SF의 기본 분류 체계

N²SF의 출발점은 정보 등급 분류입니다. 모든 업무 정보는 다음 세 등급 중 하나에 해당합니다.

3.1 C 등급 — 기밀 정보 (Classified)

유출 시 국가 안전·외교 관계·국방에 중대한 영향을 미칠 수 있는 정보입니다. 「보안업무규정」상의 비밀 정보와 상당 부분 겹치며, 가장 엄격한 보안 통제가 적용됩니다.

구체적 예시는 국가 기밀, 외교 협상 진행 자료, 군사 작전 관련 정보, 정보기관의 수집 정보 등입니다. C 등급 정보는 원칙적으로 외부 시스템과의 연계가 차단되며, 외부 생성형 AI 활용은 불가합니다.

3.2 S 등급 — 민감 정보 (Sensitive)

유출 시 업무 수행이나 공공 이익에 영향을 미칠 수 있지만, C 등급만큼 치명적이지는 않은 정보입니다. 공공기관 업무 정보의 대부분이 이 등급에 해당합니다.

구체적 예시는 개인정보, 내부 행정문서, 정책 검토 자료, 인사 정보, 예산 집행 내역, 민원 처리 내용 등입니다. S 등급 정보는 조건부 외부 연계가 가능합니다. 적절한 보안 통제를 적용하면 클라우드 활용이나 외부 시스템 연동이 가능하지만, 그 통제가 무엇인지가 핵심입니다.

외부 AI 활용도 마찬가지로 조건부 가능합니다. 다만 모델 2 가이드라인은 일반적인 상용 AI 활용 시나리오에서는 S 등급 정보의 직접 전송을 제한하고 있습니다. 이 부분은 별도 글에서 자세히 다룹니다.

3.3 O 등급 — 공개 정보 (Open)

일반에 공개되어 있거나 공개 가능한 정보입니다. 보도자료, 공개 통계, 일반 공지사항 등이 해당합니다. O 등급 정보는 외부 시스템·서비스와 자유롭게 연계할 수 있으며, 최소한의 통제만 적용됩니다.

외부 생성형 AI 활용도 별도 제약 없이 가능합니다. 다만 실무에서는 "이 정보가 정말 O 등급인가"를 신중히 판단해야 합니다. 보도자료 초안 단계에서는 S 등급일 수 있고, 공식 발표 후에야 O 등급이 됩니다. 등급은 정보의 시점·상태에 따라 변할 수 있습니다.

4. 「위치-주체-객체」 모델링 — N²SF의 사고 방식

정보를 등급으로 분류했다면, 다음 단계는 "이 정보를 어떻게 사용할 것인가"를 분석하는 것입니다. N²SF는 이를 위해 「위치-주체-객체」라는 분석 모델을 제시합니다.

모든 정보서비스는 세 가지 축으로 분해할 수 있습니다.

• 위치(Domain): 정보가 처리·저장되는 물리적·논리적 영역. "어디서?"
• 주체(Subject): 정보에 접근하거나 활용하는 사용자·장치. "누가?"
• 객체(Object): 처리되거나 조회되는 정보 자원·서비스. "무엇을?"

이 세 축 각각에 C/S/O 등급을 부여하면, 해당 정보서비스의 보안 요구사항이 도출됩니다.

위 도식에서 볼 수 있듯이, 공무원이 자신의 업무 단말에서 ChatGPT로 보도자료 초안을 작성하려는 시나리오를 분석하면 다음과 같이 평가됩니다.

• 위치: 기관 전산망 → S 등급 영역
• 주체: 업무 단말 → S 등급
• 객체: 외부 상용 AI(ChatGPT) → O 등급

이 모델링이 보여주는 것은 단순히 "외부 AI를 쓸 수 있느냐 없느냐"가 아니라, "어떤 등급의 정보가 어떤 등급의 시스템으로 이동하는가"입니다. S 등급 영역의 정보가 O 등급 시스템으로 이동하는 시나리오이므로, 이 이동에 대한 보안 통제가 필요하다는 결론이 자연스럽게 도출됩니다.

바로 이 분석 프레임워크가 N²SF의 가장 중요한 사고 도구입니다. 새로운 시스템이나 서비스를 도입할 때, 「위치-주체-객체」를 그려보고 등급을 부여하면, 어떤 보안 통제가 필요한지 체계적으로 도출할 수 있습니다.

5. 보안원칙 — 정보 생산·저장과 정보 이동

「위치-주체-객체」 모델링이 분석 도구라면, 보안원칙은 그 분석 결과에 적용되는 판단 기준입니다. N²SF는 두 가지 핵심 보안원칙을 제시합니다.

5.1 「정보 생산·저장」 보안원칙

이 원칙은 "특정 등급의 정보는 어느 등급의 시스템에서 생산·저장될 수 있는가"를 다룹니다. 핵심 규칙은 단순합니다.

특정 등급의 정보는 같거나 더 높은 등급의 시스템에서만 생산·저장될 수 있다.

예를 들어 S 등급 정보는 S 등급 시스템 또는 C 등급 시스템에서 생산·저장할 수 있지만, O 등급 시스템에서는 생산·저장할 수 없습니다. O 등급 시스템에서 S 등급 정보를 만든다면 이는 원칙 위반입니다.

이 원칙의 실무적 의미는 명확합니다. 외부 클라우드(O 등급)에서 내부 행정문서(S 등급)를 새로 작성하거나 저장해서는 안 됩니다. 또 외부 생성형 AI 서비스(O 등급)가 S 등급 업무문서를 출력하는 것도 원칙 위반이 됩니다.

5.2 「정보 이동」 보안원칙

두 번째 원칙은 "정보가 등급이 다른 시스템 간에 이동할 때 어떤 통제가 필요한가"를 다룹니다.

높은 등급에서 낮은 등급으로의 정보 이동은 적절한 보안 통제를 거쳐야 한다. 반대 방향(낮은 등급에서 높은 등급)은 일반적으로 허용된다.

예를 들어 S 등급 정보를 O 등급 시스템으로 이동하려면, 그 과정에서 정보 보호 조치(예: 민감정보 식별·차단, 비식별화, 콘텐츠 필터링 등)가 적용되어야 합니다. 단순히 정보를 그대로 보내는 것은 원칙 위반입니다.

반대로 O 등급 정보를 S 등급 시스템으로 가져오는 것은 자유롭게 허용됩니다. 외부의 공개 정보를 내부에서 활용하는 것은 보안상 위험이 적기 때문입니다(악성코드 검사 등 일반적 통제는 별도로 필요).

6. 적용 단계 — 우리 기관은 무엇부터 해야 하나

N²SF는 추상적 정책 프레임워크지만, 실무 적용 시에는 구체적인 단계가 있습니다. 「N²SF 보안 가이드라인」은 정보서비스 도입·운영 과정을 다음 5단계로 정리합니다.

1. 준비(Prepare): 정보서비스 구성요소 분석, 사용 시나리오 정의
2. 위협 식별(Identify): 「위치-주체-객체」 모델링, C/S/O 평가, 보안원칙 적용, 보안위협 식별
3. 보안대책 수립(Select): 보안 요구사항 도출, 보안통제 항목 선택
4. 구현(Implement): 선택된 보안통제 적용 및 시스템 구축
5. 운영(Operate): 지속적 모니터링, 감사, 통제 유효성 검증

각 단계에서 산출물이 만들어지며, 이 산출물들이 모여 기관의 보안 설계 근거가 됩니다. 특히 1~3단계는 도입 전 사전 검토 성격이 강하므로, 새로운 시스템을 도입하기 전에 반드시 거쳐야 할 절차입니다.

실무자가 가장 먼저 해야 할 일

이 모든 단계를 한꺼번에 적용하기는 어렵습니다. 실무적으로는 다음 세 가지부터 시작하는 것을 권장합니다.

• 정보자산 등급 분류 작업: 우리 기관이 다루는 주요 정보들을 식별하고 C/S/O 등급을 부여합니다. 모든 정보를 분류할 필요는 없으며, 주요 정보자산부터 시작하면 됩니다.
• 주요 정보서비스 모델링: 새로 도입하거나 변경하려는 시스템에 대해 「위치-주체-객체」 모델링을 적용해봅니다. 이 작업만으로도 보안 요구사항이 상당 부분 드러납니다.
• 모델 해설서 활용: 국가정보원·NSR이 발간한 「정보서비스 모델 해설서」 시리즈는 대표적 시나리오에 대한 분석 예시를 제공합니다. 우리 기관 상황과 유사한 모델을 찾아 참고하는 것이 효율적입니다.

7. N²SF가 열어준 가능성과 새로운 질문들

N²SF의 도입은 공공기관에게 새로운 가능성을 열어주었습니다. 그동안 망분리 원칙 때문에 불가능했던 시도들이 이제 가능해졌습니다.

• 외부 생성형 AI의 합법적 활용: O 등급 정보에 대해 외부 AI를 자유롭게 활용할 수 있으며, S 등급 정보도 적절한 보안 통제를 적용하면 외부 AI와 연계할 수 있습니다.
• 클라우드 서비스 도입 확대: 등급별로 적합한 클라우드 환경을 선택할 수 있게 되었습니다.
• 외부 API·데이터 연계: 행정 효율화를 위한 외부 시스템 연동이 등급 분석을 거쳐 가능해졌습니다.

그러나 이런 가능성은 새로운 질문들을 함께 가져옵니다.

• 우리 기관의 정보를 어떻게 C/S/O로 분류할 것인가?
• S 등급 정보를 외부 AI와 연계하려면 어떤 보안 통제가 필요한가?
• 그 통제의 충족 여부는 누가, 어떻게 검증하는가?
• 특정 정보서비스에 어떤 모델 해설서를 적용해야 하는가?
• 「위치-주체-객체」 모델링은 우리 기관이 직접 해야 하는가, 외부 컨설팅을 받아야 하는가?

이런 질문들은 N²SF가 완성된 답안이 아니라 새로운 사고 프레임워크이기 때문에 발생합니다. 프레임워크는 길을 보여주지만, 그 길을 어떻게 걸을지는 각 기관이 결정해야 합니다. 그리고 이 결정은 단순히 보안 부서만의 일이 아니라, 정보화 정책, 업무 프로세스, 외부 솔루션 선정까지 연결되는 통합적 의사결정입니다.

특히 생성형 AI 도입은 N²SF 적용에서 가장 활발히 논의되는 영역입니다. 국가정보원과 NSR은 이 영역을 위해 별도의 「업무환경에서 생성형 AI 활용 모델 해설서(모델 2)」를 발간했으며, 21개의 보안위협과 50여 개의 보안통제 항목을 구체적으로 제시하고 있습니다. 다음 글에서는 이 모델 2를 심층 해설하겠습니다.

자주 묻는 질문

N²SF는 의무 적용인가요?

국가정보원이 발간한 「국가 망 보안체계 보안 가이드라인」은 공공기관의 정보서비스 구축·운영 시 적용 기준을 제시합니다. 모든 기관이 즉시 전면 적용해야 하는 강행 규정의 형식은 아니지만, 신규 정보화 사업의 보안성 검토에서 사실상의 표준으로 작동하고 있습니다. 기관별 적용 시기와 범위는 정보보안 책임관과 협의해서 결정하게 됩니다.

망분리는 완전히 폐지되나요?

아닙니다. C 등급 정보를 다루는 시스템에는 망분리 수준의 강한 통제가 여전히 적용됩니다. N²SF가 폐지한 것은 "모든 정보에 일률적으로 망분리를 적용"하는 방식이며, 정보 등급에 따라 적절한 수준의 통제를 차등 적용하는 방식으로 진화한 것입니다. 즉, 강한 보안이 필요한 곳에는 여전히 강한 보안이, 그렇지 않은 곳에는 적정 수준의 보안이 적용됩니다.

C/S/O 분류는 누가 정하나요?

각 기관이 자체적으로 정보자산을 식별하고 등급을 분류합니다. 다만 일부 영역은 외부 기준이 적용됩니다. 예를 들어 C 등급에 해당하는 비밀 정보는 「보안업무규정」에 따라 분류되며, 개인정보는 「개인정보 보호법」 기준이 영향을 미칩니다. 일반적인 행정 정보의 등급 분류는 기관의 정보보안 책임관이 주관하여 결정합니다.

모델 해설서는 무엇인가요?

국가정보원과 국가보안기술연구소(NSR)가 발간하는 「정보서비스 모델 해설서」 시리즈는 대표적인 정보서비스 시나리오에 N²SF를 적용한 분석 예시입니다. 모델 1은 일반 정보서비스, 모델 2는 업무환경에서 생성형 AI 활용을 다루고 있으며, 향후 더 많은 모델이 추가될 예정입니다. 각 기관은 자신의 시나리오와 유사한 모델을 참고하여 적용 절차를 설계할 수 있습니다.

N²SF 적용에 비용이 많이 드나요?

적용 자체에는 직접 비용이 들지 않지만, 정보자산 분류, 시스템 모델링, 보안 통제 도입 등의 작업에는 시간과 자원이 필요합니다. 기존 망분리 시스템을 유지하는 것보다 N²SF 기반으로 재설계하는 것이 단기적으로는 더 큰 작업이 될 수 있습니다. 다만 장기적으로는 클라우드·AI 활용을 통한 효율성 향상이 가능해지므로, 적용 비용을 상쇄하고 남는 가치가 있습니다.

참고 자료

• 국가정보원, 「국가 망 보안체계(N²SF) 보안 가이드라인」, 2024
• 국가정보원, 국가보안기술연구소(NSR), 「국가 망 보안체계 보안 가이드라인 — 정보서비스 모델 해설서: 모델 2. 업무환경에서 생성형 AI 활용」, 2025.9
• 「전자정부법」, 「국가정보보안기본지침」
• 「보안업무규정」, 「개인정보 보호법」
• 디지털플랫폼정부위원회, 「디지털플랫폼정부 추진계획」