N²SF 모델 2 완벽 해설 — 공공기관에서 ChatGPT를 쓸 수 있을까

1. 모델 2가 왜 중요한가

모델 2의 의미를 한 줄로 정리하면 다음과 같습니다.

공공기관이 외부 상용 생성형 AI를 업무에 활용할 수 있는 최초의 공식 길잡이.

이 문장이 갖는 무게를 이해하려면 그 이전 상태를 떠올려야 합니다. 모델 2 발간 이전에는 공공기관이 ChatGPT나 Claude 같은 외부 AI를 업무에 쓸 수 있는 근거가 사실상 없었습니다. 망분리 원칙은 외부 인터넷 서비스 사용을 금지했고, N²SF는 2024년에 발표되었지만 "외부 AI는 어떻게 다뤄야 한다"는 구체적 가이드는 없었습니다. 직원들은 사용하고 싶어했고, 보안 부서는 막아야 했고, 정보화담당관은 답을 줄 근거가 없었습니다.

모델 2는 이 공백을 메웠습니다. 외부 AI 활용이라는 시나리오를 N²SF 체계 안에서 어떻게 분석하고, 어떤 보안 통제를 적용해야 하는지를 구체적으로 제시합니다. 모든 답을 주지는 않지만, "이렇게 하면 도입할 수 있다"는 길을 처음으로 보여준 문서입니다.

그리고 동시에, 모델 2는 그 길의 한계와 폭도 함께 정의합니다. 모든 정보를 외부 AI에 보낼 수 있는 것이 아니며, 모든 시나리오에 적용되는 것도 아닙니다. 이 글에서는 모델 2가 그어놓은 선이 어디인지를 명확히 보여드리겠습니다.

2. 모델 2가 다루는 시나리오 — 정확히 무엇인가

모델 2 문서의 부제는 "업무환경에서 생성형 AI 활용"입니다. 이 짧은 부제가 다루는 범위를 정확히 풀어보면 다음과 같습니다.

• 업무환경: 공무원·기관 직원이 일상 업무를 수행하는 기관 내부 환경 (사무실 PC, 온북 등)
• 생성형 AI: ChatGPT, Claude, Gemini 등 인터넷에 위치한 상용 AI 서비스
• 활용: 문서 작성 보조, 요약, 번역, 정보 검색 등 일반 업무 효율화

더 명확히 말하면, 모델 2가 다루는 시나리오는 다음 한 문장입니다.

"기관 전산망(S 등급) 내부에 있는 공무원이, 자신의 업무 단말(S 등급)을 통해, 인터넷에 있는 상용 생성형 AI 서비스(O 등급)를 활용하는 시나리오."

이 시나리오는 모델 2 문서의 [그림 2-1]에서 도식화되어 있으며, N²SF 체계의 「위치-주체-객체」 모델로 정확히 매핑됩니다.

도식에서 보이는 것처럼, 시나리오는 세 개의 핵심 구성요소를 가집니다.

• 업무 시스템: 기관이 운영하는 내부 업무 시스템 (S 등급)
• 이용자 단말: 공무원이 사용하는 업무 단말 또는 온북 (S 등급)
• 상용 생성형 AI: 인터넷에 위치한 외부 AI 서비스 (O 등급)

그리고 이 셋을 연결하는 보호 장치가 AI 연계체계입니다. 이 부분이 모델 2의 핵심이며, 별도 섹션에서 자세히 다루겠습니다.

3. 두 보안원칙의 적용 — 무엇이 위배되고 무엇이 허용되는가

모델 2의 분석은 N²SF의 두 가지 보안원칙을 시나리오에 적용하는 작업에서 시작됩니다. 두 원칙은 모델 2 문서의 p.13에 명시되어 있으며, 각각 무엇을 의미하는지 정확히 짚어보겠습니다.

3.1 「정보 생산·저장」 보안원칙 적용

이 원칙은 "어느 등급의 시스템에서 어느 등급의 정보를 만들거나 저장할 수 있는가"를 다룹니다. 모델 2 시나리오에 적용한 결과는 다음과 같습니다.

• 이용자 단말(S 등급)에서 S·O 등급 정보 생산·저장: 원칙 위배 없음. 같거나 더 낮은 등급의 정보는 상위 등급 시스템에서 자유롭게 다룰 수 있습니다.
• O 등급 상용 AI에서 S 등급 이상 정보 생산: 원칙 위배. 낮은 등급(O) 시스템이 더 높은 등급(S)의 정보를 만들어내는 것은 허용되지 않습니다.

두 번째 항목의 실무적 의미가 중요합니다. 예를 들어 공무원이 ChatGPT에게 "이번 분기 부서 인사 평가를 정리해줘"라고 요청하면, ChatGPT가 출력하는 결과물은 S 등급 정보(인사 평가)에 해당할 수 있습니다. 이 시점에서 O 등급 시스템(ChatGPT)이 S 등급 정보를 생산한 셈이 되며, 이는 보안원칙에 위배됩니다.

따라서 모델 2는 "상용 AI는 O 등급 정보만 다루도록 통제한다"는 결론에 도달합니다. 외부 AI에 입력할 수 있는 것도, 외부 AI가 출력할 수 있는 것도 모두 O 등급 범위로 한정됩니다.

3.2 「정보 이동」 보안원칙 적용

두 번째 원칙은 "정보가 등급이 다른 시스템 간에 이동할 때 어떤 조건이 필요한가"를 다룹니다. 모델 2 시나리오에서 발생하는 이동은 다음과 같습니다.

• 이용자 단말(S) → 상용 AI(O) 방향의 O 등급 정보 전송: 원칙 위배 없음. O 등급 정보를 O 등급 시스템으로 보내는 것은 자유롭게 가능합니다.
• 이용자 단말(S) → 상용 AI(O) 방향의 S 등급 정보 전송: 원칙 위배. 높은 등급(S) 정보를 낮은 등급(O) 시스템으로 그대로 보내는 것은 정보 노출 위험을 의미합니다.
• 상용 AI(O) → 이용자 단말(S) 방향의 O 등급 정보 수신: 원칙 위배 없음. 낮은 등급 정보를 높은 등급 시스템으로 가져오는 것은 일반적으로 허용됩니다.

두 번째 항목, 즉 S 등급 정보의 외부 AI 전송이 모델 2 시나리오의 가장 큰 제약입니다. 이 제약을 어떻게 통제할 것인가가 모델 2 전체의 핵심 과제이며, 21개 보안위협의 상당수가 이 한 줄에서 파생됩니다.

4. 21개 보안위협 — 무엇을 막아야 하는가

모델 2는 시나리오에서 발생할 수 있는 보안위협을 21개로 식별합니다. TH-M2-1부터 TH-M2-21까지 번호가 매겨져 있으며, 세 개의 영역으로 묶입니다.

4.1 이용자 단말 영역 (8개 위협)

공무원의 업무 단말에서 발생할 수 있는 위협들입니다. 단말 자체의 보안성 유지(OS·SW 취약점, 악성코드), 단말 사용 통제(비인가 사용, 비인가 SW 설치), 정보 유출 방지(업무정보 비인가 유출, AI 계정 정보 노출), 네트워크 통제(비인가 네트워크 연결, 비인가 단말의 AI 접근) 등이 포함됩니다.

이 영역의 위협은 대부분 일반적인 단말 보안 관리 영역에 속합니다. 다만 TH-M2-6(AI 계정 정보 노출)과 TH-M2-7(비인가 단말의 AI 접근)은 AI 활용 시나리오 특유의 위협으로, 단말 인증과 AI 계정 분리 관리가 필요합니다.

4.2 AI 연계체계 영역 (11개 위협)

21개 중 절반 이상이 이 영역에 집중되어 있습니다. 이는 AI 연계체계가 모델 2 시나리오의 핵심 통제 지점임을 보여줍니다. 다음과 같이 세부 분류됩니다.

• 인증·접근 통제: TH-M2-9 (비인가 접근), TH-M2-10 (우회 시도), TH-M2-11 (미승인 AI 접근)
• 데이터 보호: TH-M2-12 (O 등급 외 정보 AI 활용), TH-M2-13 (송수신 데이터 유출)
• 외부 위협 차단: TH-M2-14 (외부 비인가 접근), TH-M2-15 (외부 악성 콘텐츠 유입)
• 연계체계 자체 보안: TH-M2-16 (관리자 계정 비인가 접근), TH-M2-17 (취약점 노출)
• 가용성·운용: TH-M2-18 (AI 서비스 접속 실패), TH-M2-19 (연계체계 운용 장애)

특히 TH-M2-12 "공개(O) 등급 외 업무정보의 생성형 AI 서비스 활용"이 가장 중요한 위협입니다. 앞서 다룬 보안원칙 위배의 직접적 표현이며, 이를 막기 위한 통제가 모델 2의 핵심 설계 요건이 됩니다.

4.3 생성형 AI 서비스 영역 (2개 위협)

외부 상용 AI 서비스 자체와 관련된 위협으로, 계정 도용(TH-M2-20)과 AI 서비스를 통한 정보 유출(TH-M2-21)이 식별되어 있습니다. 이 영역은 외부 서비스이므로 기관이 직접 통제하기 어렵고, 계정 관리·데이터 사용 정책 수립으로 대응합니다.

5. AI 연계체계 — 모델 2의 핵심 구조

21개 위협 중 11개가 집중된 영역이자, 모델 2 전체 설계의 중심이 AI 연계체계입니다. 모델 2 문서 [그림 2-8]에 도식화되어 있는 이 구조는 다음 네 가지 컴포넌트로 구성됩니다.

• 인증 서버: 이용자·단말 인증, 비인가 접근 차단
• 콘텐츠 통제: 비인가 자료유형 통제, 프롬프트·콘텐츠 필터링, 보안등급 식별
• 악성코드 검사: 외부로부터의 악성 콘텐츠 유입 차단
• 보안 경계: 방화벽, Proxy 강제화, 일방향 정보흐름 통제

이 네 컴포넌트가 함께 작동하여, 이용자 단말과 외부 AI 사이의 정보 흐름을 통제합니다. 단말이 직접 외부 AI에 접근하는 것이 아니라, 반드시 AI 연계체계를 경유하도록 강제하는 것이 핵심 설계입니다.

이 구조에서 가장 까다로운 통제가 "O 등급 외 정보의 외부 AI 전송 차단"(TH-M2-12 대응)입니다. 이는 단순한 도메인 차단으로는 해결되지 않습니다. 단말에서 외부 AI로 전송되는 텍스트 안에 S 등급 정보가 포함되어 있는지를 실시간으로 식별하고 차단해야 하기 때문입니다.

이 통제를 어떻게 구현하느냐가 모델 2 시나리오의 실제 보안 수준을 결정합니다. 단순 정규식·키워드 기반 마스킹은 패턴에 없는 정보를 놓치고, 재식별 공격에 취약합니다. 더 정교한 보호 기법이 필요하다는 점이 이 지점에서 명확해지며, 이 주제는 별도의 글에서 깊게 다룹니다.

6. 50+ 보안통제 항목 — 무엇을 갖춰야 하는가

21개 위협에 대응하기 위해 모델 2는 50여 개의 구체적 보안통제 항목을 제시합니다. 각 통제는 N2SF-XX-N 형식의 코드로 식별되며, 카테고리별로 정리됩니다. 일일이 나열하는 것은 의미가 적으므로, 카테고리 중심으로 정리해드리겠습니다.

이 표에서 강조된 행 "생성형 AI 서비스 활용 시 데이터 보호"가 모델 2 통제의 가장 까다로운 영역입니다. 다른 통제는 일반적 IT 보안 영역의 확장이지만, 이 영역은 AI 활용 시나리오 특유의 새로운 통제이며, 솔루션마다 구현 수준의 차이가 가장 크게 드러나는 부분입니다.

7. 모델 2의 범위와 한계

모델 2는 공공기관 AI 활용의 첫 공식 길잡이지만, 모든 시나리오를 다루지는 않습니다. 모델 2 적용을 검토할 때는 그 경계를 정확히 인식해야 합니다.

7.1 모델 2가 다루지 않는 것

• S 등급 정보의 외부 AI 활용: 모델 2는 활용 가능 정보를 O 등급으로 한정합니다. S 등급 정보를 외부 AI로 안전하게 활용하려는 시나리오는 모델 2의 범위 밖이며, 별도의 보호 기법(예: 차등정보보호 기반 비식별화)이 적용된 보호 레이어 아키텍처가 필요합니다.
• 기관 내부 자체 구축 AI(sLLM) 시나리오: 객체가 외부 상용 AI(O 등급)가 아니라 기관 내부 sLLM(S 등급)인 경우는 다른 모델에서 다룹니다. 향후 별도의 모델 해설서가 발간될 가능성이 있습니다.
• C 등급 환경에서의 AI 활용: 폐쇄망·기밀 처리 환경에서의 AI 활용은 별도 검토가 필요합니다.
• AI Agent 시나리오: 단순 질의응답을 넘어 AI가 자율적으로 도구를 호출하고 행동하는 Agent 시나리오는 모델 2에서 다루지 않습니다.

7.2 모델 2 적용 시 흔히 부딪히는 문제들

모델 2를 실제 기관에 적용할 때 정보화담당관이 자주 마주치는 문제들이 있습니다.

• O 등급 한정의 실무적 비효율: 직원들이 활용하고 싶어하는 업무 시나리오의 상당수가 S 등급 정보를 포함합니다. 예를 들어 부서 내부 회의록 정리, 정책 검토 보고서 작성 보조, 민원 응답 초안 작성 등은 모두 S 등급 정보를 다룹니다. 이런 시나리오를 모델 2 범위 내에서 어떻게 다룰지가 큰 과제입니다.
• AI 연계체계 구현의 복잡성: 50여 개의 통제 항목을 모두 충족하는 AI 연계체계를 자체 구축하는 것은 사실상 불가능에 가깝습니다. 외부 솔루션 도입이 현실적이며, 솔루션 평가 기준이 명확해야 합니다.
• 섀도우 AI 문제: 모델 2를 준수하기 위해 통제를 강화할수록 직원들이 우회 사용을 시도할 가능성이 커집니다. 통제와 활용성의 균형 설계가 필요합니다.

8. 우리 기관이 해야 할 일

모델 2를 실제 적용하기 위해 정보화담당관이 단계적으로 수행해야 할 작업은 다음과 같습니다.

1. 활용 시나리오 정의: 직원들이 외부 AI를 어떤 업무에 어떻게 활용할 것인지 구체적으로 정의합니다. 단순히 "ChatGPT를 도입하겠다"가 아니라, "어떤 부서가 어떤 업무에 어떤 정보로 어떻게 활용하는가"를 명확히 합니다.
2. 정보 등급 분류: 활용 시나리오에서 다루어질 정보들의 C/S/O 등급을 평가합니다. O 등급으로 한정되는 활용 범위가 어디까지인지가 이 단계에서 명확해집니다.
3. 「위치-주체-객체」 모델링: 시나리오를 모델 2와 같은 방식으로 모델링하고 보안원칙을 적용합니다. 모델 2 문서의 분석 구조를 그대로 따르면 됩니다.
4. 보안위협 식별 및 추가 위협 검토: 모델 2의 21개 위협을 기본으로, 우리 기관 특성에 따른 추가 위협이 있는지 검토합니다.
5. 보안통제 항목 선택: 50여 개 통제 항목 중 우리 기관 환경에 적용해야 할 항목을 선택합니다. 모든 항목을 일률 적용할 필요는 없으며, 기관 특성에 맞춰 조정합니다.
6. AI 연계체계 솔루션 평가·도입: 통제 항목을 충족할 수 있는 AI 연계체계 솔루션을 선정합니다. 자체 구축은 현실적으로 어려우며, 외부 솔루션 평가가 일반적입니다.
7. 운영 체계 구축: 사용자 교육, 모니터링, 감사 로그, 사고 대응 절차를 마련합니다.

자주 묻는 질문

모델 2를 따르면 우리 기관 직원들이 ChatGPT를 자유롭게 쓸 수 있나요?

"자유롭게"라는 표현은 적절하지 않습니다. 모델 2 준수 환경에서도 활용 가능 정보는 O 등급으로 한정되며, AI 연계체계를 경유한 통제된 접근만 가능합니다. 직원이 ChatGPT 사이트에 직접 접속해서 자유롭게 쓰는 형태가 아니라, 기관이 운영하는 AI 연계체계 인터페이스를 통해 사전 승인된 범위에서 사용하게 됩니다.

S 등급 정보로 외부 AI를 활용하려면 어떻게 해야 하나요?

모델 2 범위 내에서는 불가능합니다. S 등급 정보의 외부 AI 활용을 검토하려면, 보호 처리(예: 비식별화·차등정보보호) 후 전송하는 별도의 아키텍처가 필요하며, 그 아키텍처의 N²SF 정합성에 대한 자체 위험 평가가 요구됩니다. 이 영역은 「공공기관 생성형 AI 도입의 세 가지 길」에서 자세히 다룹니다.

모델 2의 21개 위협과 50개 통제를 모두 충족해야 하나요?

문서의 "활용 방안" 절(p.9)에 명시되어 있듯이, 보안통제 항목은 절대적 기준이 아닌 검토 사항입니다. 기관 특성에 맞게 유연하게 적용할 수 있으며, 제시되지 않은 항목을 추가하거나 제시된 항목을 조정·삭제하는 것도 가능합니다. 다만 정당화 논리를 문서화해두는 것이 감사 대응에 필수입니다.

AI 연계체계는 자체 구축이 가능한가요?

이론상 가능하지만 현실적으로 매우 어렵습니다. 50여 개의 보안통제 항목을 충족하는 시스템을 자체 개발·운영하려면 상당한 인력·예산이 필요하며, 보안 검증의 부담도 큽니다. 대부분의 기관은 외부 솔루션 도입을 선택하며, 조달청 혁신제품 지정·각종 인증을 받은 솔루션이 선택지가 됩니다.

참고 자료

• 국가정보원, 국가보안기술연구소(NSR), 「국가 망 보안체계 보안 가이드라인 — 정보서비스 모델 해설서: 모델 2. 업무환경에서 생성형 AI 활용」, 2025.9
• 국가정보원, 「국가 망 보안체계(N²SF) 보안 가이드라인」, 2024
• 「전자정부법」, 「국가정보보안기본지침」, 「개인정보 보호법」