11일, 국가정보원과 국가안보기술연구소 공동으로 주최한 제1회 ‘사이버 서밋 코리아(Cyber Summit Korea, CSK) 2024’에서 열린 '대한민국 사이버안보 정책 방향’ 프로그램에서 국가정보원은 망 분리 정책을 개선하기 위해 다층보안체계(MLS) 도입을 공식 발표했다. 이번 발표는 공공데이터의 공유와 인공지능(AI), 클라우드 등 최신 기술을 활용할 수 있는 기반을 마련하면서도 보안성을 강화하는 중요한 전환점으로 평가되고 있다.
망분리란 국가나 공공기관이 내부망을 외부 인터넷망과 물리적으로 분리하여 보안을 강화하는 방법이다. 이 방식은 외부 해킹 및 악성코드 감염을 방지하기 위한 핵심적인 보안 정책으로 주로 공공기관과 금융기관에서 적용되어 왔다.
하지만, 기존의 망분리 정책은 다양한 문제점을 야기했다. 가장 큰 문제는 공공데이터의 효과적인 공유와 인공지능 및 클라우드와 같은 신기술 활용이 어려웠다는 점이다. 업무망과 인터넷망을 분리하면서 AI, 클라우드 등의 도입이 제한되어 디지털 전환이 지연되고, 업무 효율성이 떨어지는 상황이 계속되었다. 예를 들어, 공공데이터를 이용한 인공지능 학습이나 클라우드 기반 협업 도구를 사용할 수 없게 되면서 국가 기관들은 시대에 맞는 기술 활용에 어려움을 겪었다.
◆ 다층보안체계(MLS) 도입 배경
이러한 문제를 해결하기 위해, 윤석열 대통령은 "AI 시대에 걸맞는 폭넓은 공공데이터 활용체계를 갖추라"는 지시를 내렸다. 이에 따라 국정원은 올해 초부터 디지털플랫폼정부위원회, 금융위원회, 개인정보보호위원회 등 관계기관 및 산업계, 학계, 연구계 전문가들과 함께 ‘국가 망보안정책 개선 TF’를 구성하여 다층보안체계(MLS)를 중심으로 한 보안 정책 개선 방안을 마련하기 시작했다.
TF는 "DPG(디지털플랫폼 정부) Korea with MLS"라는 슬로건 아래 다양한 의견수렴 과정을 거쳐 다층보안체계 전환 로드맵을 발표했다. MLS는 국가 전산망의 정보를 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 등 세 가지 등급으로 분류하고, 각 등급에 맞는 보안 통제를 차등적으로 적용하는 체계다. 이를 통해 보안성을 유지하면서도 원활한 데이터 공유를 실현할 수 있다.
◆ 다층보안체계 전환 로드맵
이번에 발표된 전환 로드맵은 5단계 절차로 구성되었다. 첫 단계는 현재의 보안 체계를 분석하고, 두 번째 단계에서는 정보 시스템을 업무 중요도에 따라 C/S/O(기밀/민감/공개) 등급으로 분류한다. 세 번째 단계에서는 정보서비스 환경을 모델링하고, 이를 바탕으로 보안 대책을 수립한다. 마지막으로 적절성 평가와 조정을 통해 최종 보안 통제를 적용하게 된다.
이 로드맵은 기존 망분리 정책의 문제점을 해결하면서도 보안성을 유지하기 위해 설계되었다. 특히, 제로트러스트(Zero Trust) 보안 모델과 RMF(위험관리체계, Risk Management Framework)를 국내 여건에 맞게 반영해 최적화한 것이 특징이다. 이를 통해 데이터 보호와 데이터 공유라는 두 가지 목표를 동시에 달성할 수 있도록 지원한다.
◆ 주요 추진 과제
다층보안체계 도입과 함께 발표된 주요 추진 과제는 총 8가지로 구성되었다. 여기에는 공공데이터의 외부 AI 융합, 인터넷 단말의 업무 효율성 제고, 업무환경에서 생성형 AI 활용, 외부 클라우드 활용 업무협업 체계, 연구 목적 단말의 신기술 활용 등 다양한 영역에서의 디지털 전환이 포함되었다.
공공데이터의 외부 AI 융합: 디지털플랫폼정부위원회와 행정안전부가 추진하는 범정부 초거대 AI와 공공데이터 융합을 통해 민간에서도 공공데이터를 활용할 수 있는 기회를 확대한다. 상세 내용은 다음과 같다.
▶인터넷 단말의 업무 효율성 제고: 문서 편집기, 협업용 소프트웨어(S/W), 클라우드 등 다양한 도구를 인터넷 단말에서 효율적으로 활용할 수 있도록 지원한다.
▶업무환경에서 생성형 AI 활용: 업무 단말에서 ChatGPT와 같은 생성형 AI 서비스를 활용하여 업무 효율성을 높인다.
▶외부 클라우드 협업 체계 도입: 외부 클라우드 협업 도구(SaaS)를 통해 업무 생산성을 극대화하고 효율성을 제고한다.
▶업무 단말의 인터넷 활용: 보안이 강화된 환경에서 업무 단말이 필요한 인터넷 서비스에 접속할 수 있도록 지원한다.
▶연구 목적 단말에서 신기술 활용: 연구 목적의 단말에서 국내외 다양한 신기술을 제한 없이 활용할 수 있도록 한다.
▶개발 환경 편의성 향상: 개발자가 오픈소스 등을 활용하고, 필요 시 원격 개발을 할 수 있도록 지원하는 환경을 구축한다.
▶클라우드 기반 통합 문서체계: 클라우드 기반의 통합 문서체계를 통해 기관 내외에서 업무자료를 생산, 공유, 협업할 수 있도록 지원한다.
◆ 기대 효과 및 향후 계획
다층보안체계 도입으로 국가 및 공공기관의 업무 효율성이 크게 향상될 것으로 기대된다. AI와 클라우드 기술을 업무에 적극적으로 활용함으로써 더 나은 공공 서비스를 국민들에게 제공할 수 있게 된다. 또한, 제로트러스트와 같은 첨단 보안 기술의 수요 증가로 정보보안 산업도 더욱 활성화될 전망이다. 이로 인해 AI, 클라우드, 데이터 산업 분야에서 경제적 성장이 촉진될 것으로 보인다.
특히, 이번 다층보안체계 도입은 윤석열 대통령의 1호 공약인 디지털플랫폼정부 구현에 큰 기여를 할 것으로 기대된다. 공공데이터를 더욱 개방하고 쉽게 활용할 수 있는 '디지털 고속도로'의 기반을 마련함으로써 디지털 경제 혁신을 촉진할 수 있을 것으로 보인다.
국정원은 내년부터 디지털플랫폼정부위원회 주관 하에 8개의 추진 과제를 시범사업으로 추진하고, 이를 통해 다층보안체계의 안정성과 실효성을 검증할 계획이다. 정책 시행 이후 공공 부문 전반에 걸쳐 신속하게 확산될 것으로 기대되며, 이를 통해 국가 사이버 보안 역량을 한 단계 끌어올릴 수 있을 것이다.
이번 발표는 단순한 보안 정책 변화가 아닌, 국가 디지털 전환의 기반을 마련하는 중요한 발걸음이 될 것으로 보인다. AI와 클라우드 등 첨단 기술의 활용을 촉진하면서도 보안성을 유지할 수 있는 다층보안체계 도입이 대한민국 사이버 보안 정책의 새로운 전환점이 될 것으로 기대된다.
◆ 전공공분야에 국제표준암호 AES 허용
또 국정원은 그간 주요 국가ㆍ공공기관에서 사용하는 암호모듈의 안전성을 검증하는 ‘암호모듈 검증제도’(KCMVP)에서 국내에서 개발한 암호(SEEDㆍARIAㆍHIGHTㆍLEA)만 허용해왔다.
이는 2005년 ‘암호모듈 검증제도’(KCMVP)를 시행할 당시, 외국에서 개발한 암호에 대한 해독 우려로 인한 조치였다. 이로 인해 국내 암호 연구 활성화 및 인력 양성 등 부가적인 효과가 있었다.
그러나, 보안 환경의 변화로 인해 국제화와 범용성 증대를 위해 글로벌 스탠더드를 허용해야 한다는 의견이 대두되었다.
국제표준암호인 AES는 전세계에서 가장 많이 사용하는 암호 알고리즘이 되었으며, 기업들은 수출을 위해서 제품에 AES를 탑재해야 하는 상황에 직면해 수출 경쟁력 약화와 개발 효율성 저하 문제가 발생했다.
이에 국정원은 AES의 안전성이 충분히 입증되었다고 판단하고, 경제적 효과와 산학연 전문가 의견 등을 고려하여 ‘암호모듈 검증제도’에서 AES를 허용하는 방안을 검토하였다.
AES 허용은 2014년에도 논의된 바 있으나 당시 외산 암호에 대한 불신ㆍ암호 산업 및 학계에 대한 보호 등을 이유로 성사가 되지 않았다.
이후 2022년 국가정보원은 IoTㆍ자율주행차량 등에 AES의 활용도가 점차 높아지고 있어 이에 대한 연구용역을 진행하였으며 AES 허용이 필요하다는 결론을 도출하였다. 금년 5월초 개최된 국방혁신위원회에서는 軍의 드론 전력강화 방안이 논의되었는데, 이 과정에 AES가 탑재된 상용드론의 신속 획득 필요성도 논의된 것으로 알려졌다. 지난 5~6월에는 산ㆍ학계 간담회 등을 통해 AES 허용에 대한 찬성 의견을 조사한 결과, 찬성률이 85%에 도달해 공감대가 형성된 것을 확인했다.
국정원은 8월 ‘암호모듈 시험 및 검증지침’에 의거, 검증위원회 심의를 거쳐 AES를 허용을 최종적으로 결정하였다. 다만, 산업계 및 시험기관의 준비기간을 고려하여 2026년 1월부터 시행할 예정이다.
국정원은 AES를 허용함에 따라 국내 업체의 수출 경쟁력 강화와 더불어 개발 편의성이 증대할 것으로 기대하고 있다. 또한, 미국이 무역장벽보고서 등을 통해 AES 허용을 10년 이상 지속 요청해온 만큼 이번 조치를 통해 무역장벽 논란도 해소될 것으로 보고 있다.
특히, AES를 탑재한 외산 제품이 주요 공공분야에 도입되기 위해서는 해당 암호모듈이 안전하게 구현되었는지 국가정보원의 검증을 받아야 하므로 안보 측면의 우려도 없을 전망이다.
◆ 윤석열 대통령, CSK 2024에서 “능동형 사이버안보로 전환” 강조
한편 9월 11일 윤석열 대통령은 코엑스에서 국가정보원과 국가안보기술연구소 공동으로 주최한 제1회 ‘사이버 서밋 코리아(Cyber Summit Korea, CSK) 2024’에 참석해 국내외 사이버안보 기관 관계자들을 격려했다.
윤 대통령은 축사를 통해 디지털 혁명 시대를 맞아 사이버 공간이 국가의 핵심 인프라로 자리 잡았다면서, 편익이 커지는 만큼 도전과 위협도 증가한다고 진단했다.
특히, 전체주의 국가를 배후에 둔 해킹조직과 사이버 범죄자들은 고도화된 사이버 기술을 악용해 더욱 다양하고 정교한 방식의 공격을 펼치고 있다면서 이러한 사이버 공격이 핵심 기반 시설에 치명적인 타격을 준다면 국가안보와 국민 안전까지도 크게 위협받을 수 있다고 우려했다.
윤 대통령은 사이버 위협은 한 국가만의 문제가 아니기 때문에 세계 각국은 국제 연대를 바탕으로 ‘능동형 사이버안보’로 전환하고 있다면서, 대한민국도 올해 2월 ‘국가사이버안보전략’을 발표하고 지난해 한미동맹을 사이버 공간으로 확장하는 ‘사이버 안보 협력 프레임워크’를 채택하는 등 우방국과의 사이버 공조에 힘을 쏟고 있다고 말했다.
또한, 대한민국은 오랫동안 북한을 비롯한 적대세력의 사이버 공격에 대응하며 방어 능력과 안보 체계를 지속적으로 발전시켜 온 사이버안보 강국이라면서, 오늘 행사를 계기로 대한민국이 인도 태평양 지역을 대표하는 ‘국제 사이버 훈련 허브’로서 국제적 위상을 확립해 나갈 것이라고 밝혔다.
이어 초연결 AI시대에 맞춰 공공데이터를 빠르고 폭넓게 활용할 수 있도록 정부 전산망 보안 정책과 암호 사용 정책을 글로벌 스탠더드에 맞게 과감히 개선하고 있다고 정부의 정책 방향을 제시했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★