이번 포스팅에서는 국가 망 보안체계인 N2SF에 대해 알아보겠습니다.
해당 링크에서 다운받으실 수 있는데, 저는 서버가 404가 떠서 다른 곳에서 다운받았습니다.
핵심적인 부분만 먼저 짧게 살펴보면, 기존의 망 분리 정책은 민감한 데이터를 다루는 업무망과 인터넷망을 분리 운영하여 인터넷을 통한 접근이나 유출 등 외부로부터의 사이버 위협을 차단하는 정책이었습니다.
아예 망 자체를 다르게 쓰기 때문에 보안 위협으로의 안정성은 매우 높지만 접근성이 떨어지는 정책입니다.
하지만 최근들어 AI와 cloud의 등장, 그리고 재택 근무 등의 새로운 업무 환경이 등장했을 때는, 낮은 접근성이 불편함을 초래하였습니다. IT 환경은 변화에 유연하게 대응하는 것이 중요하고, 효율적인 업무 환경을 등장하는 것이 중요하기 때문에 국가정보원에서 여러 관계기관과 전문가들과 함께 새로운 보안 정책을 수립하였습니다
24년부터 시작해서 25년 1월에 초안이 발표되었고, 25년 9월에 가이드라인 1.0이 발표되었습니다.
목표는 다음과 같습니다.
1. 기존의 획일적인 망 분리 방식을 넘어 유연하고 효율적인 보안 환경을 조성한다.
2. AI,클라우드 등 신기술을 융합해 정보유통을 강화함으로써 스마트 업무 환경을 실현한다.
3. 관련 전문가와의 협력을 통해 기관 자율보안 개념을 접목하고, 국내 현실에 최적화된 보안 정책을 개발한다.
4. 새로운 보안 정책을 신속하게 제시해서 각 기관의 환경에 맞게 자율적으로 추진하도록 지원하고, 제도를 점진적으로 개선해 안정적으로 안착시킨다.
5. 공공정보의 보안성과 활용성을 동시에 높여 보안기술 및 AI,클라우드,공공데이터 산업 발전을 촉진하고, 디지털 경제 활성에 기여한다.
정책의 평가과정은 생략하고, 변경된 부분과 실적용 사례들 위주로 정리하겠습니다.
먼저 기존의 업무망 / 인터넷망으로의 이분법적 망분리 체계를 정보 중요도에 따라 C/S/O로 분류를 해서 보안 수준을 다르게 적용하는 체계로 변환하였습니다.
C (classified)에는 기밀 정보 : 국가 안보, 핵심 기밀 정보가 포함되고, 강한 분리와 통제를 합니다.
S (sensitive)에는 비공개 업무 자료, 개인정보, 내부 행정 자료가 포함되며, 접근 통제, 인증, 암호화, 모니터링을 적용합니다
O (open)은 공개 가능한 정보로 클라우드 서비스나 인터넷, AI를 활용 가능합니다.
각 정보에 대한 해당 사항은 다음 표에서 확인 가능합니다.
이걸 어떻게 단계별로 수행가능한지 보면
준비 단계에서는 정보를 식별합니다. 이후 각 정보를 C/S/O등급으로 분류하고, 위협을 식별한 뒤, 보안 대책을 수립하고 평가하는 단계로 이루어져 있습니다.
적용하는건 사례를 찾아서 볼건데, N2SF로의 전환에서의 가장 중요한 과정은 다음의 항목들입니다.
- 자산 관리, 자산 추적
- 망간의 보안 정책
- 수많은 데이터의 중요도 분류 방식
- 보안 통제 항목을 어떻게 적용할지
- 변화된 환경에서의 보안 사고 발생시 대응 방법
여기까지 봤을 때 궁금했던 부분은 다음과 같습니다
1. 같은 C / S / O 망에 있는 경우는 통신이 가능한지?
2. S -> O로 데이터가 이동하거나 O에서 S로 데이터가 이동하는 모든 경우에 같은 정책이 적용 가능한지?
3. 등급을 나누는 걸 물리적인 업무 환경에서 어떻게 구현하는 지, 내가 이해했을 때 어차피 물리적으로 단말을 분리하는거면 기존의 망분리와 큰 차이점이 어떤건지?
1번에 대한 해답은 원칙상 가능하지만, 실제 통신은 업무 목적, 접근 권한, 연계 구간 통제 적용 여부 등을 보고 허용을 해야한다입니다. O -> S와 같은 정보 상승도 원칙에서 위배되진 않습니다. 하지만 O에서 S로 등급이 상향되더라도, 이 데이터가 악성행위를 유발할 수 있기에 보안 대책은 따로 적용합니다.
2. S에서 O로 데이터가 이동하는건 더 낮은 시스템으로의 하향 이동이므로 위협으로 식별되기에 차단됩니다.
O에서 S로의 상향이동은 무조건 같은 정책으로 처리되진 않습니다.
3. 기존 망에서는 망 분리를 네트워크 기준으로 설정을 했는데, 새로운 가이드라인에서는 정보를 자료/정보시스템/위치 순서로 나눕니다. 먼저 자료 자체를 C/S/O로 나누고 자료를 처리하는 시스템 등급을 정하는 방식이므로, 한 PC에서 여러 등급의 정보를 취급할 수 있습니다. 이런 경우에는 VPN이나 VM같은 터널링을 이용해서 구현하며, 내 컴퓨터에서는 O등급 업무, S등급 자료는 원격 업무 환경에서 처리하는 방식입니다. O -> S의 경우 비교적 간단하게 구현 가능한데, 내 컴퓨터에서 LLM 모델을 쓰면서 복사를 한 뒤 VM환경으로는 복사가 가능하지만, VM 환경에서는 내 PC로 이동이 안되게 막는 형식으로 이해해도 될 것 같습니다.
가장 중요한 C 등급은 기존처럼 망도 따로 유지하고 접근 통제도 엄격하게 하는 방식입니다
예시 표를 보면 전체에 적용되는 사항이 있고, 각 항목별로 N2SF ID와 함께 어떤 등급에 적용이 되는지를 보여주고 있습니다.
어느정도의 유연성도 보장이 되네요.
위치-주체-객체 모델링도 있는데 간단하게만 설명하면, 주체는 이용자 객체는 접속 대상 위치는 주체의 물리적 위치입니다.
정보 서비스 구성 환경을 3가지 요소로 나눠서 구조화하고, 파악합니다.
[보안 101] N2SF란 무엇인가요?
[보안 101] 더보기 ▶ 매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념
www.igloo.co.kr
이글루 코퍼레이션 블로그 중 예시활동을 보면
usb관련 내용이 있는 데, 제가 군대에서 복무할때도 전장망과 국방망의 망분리때문에 랜선을 절대 잘못꽂으면 안되고, 옮길때는 usb에 담은 뒤 이동형장치사용허가서를 작성한 뒤에 꽂아야 옮겨지는 좀 번거로운 과정들이 있긴 했었습니다.
이런 부분들을 클라우드를 활용해서 바로 주고 받을 수 있다면 확실히 편하긴 하겠네요
KISA가 제공하는 실증 사례집입니다.
업무 서비스에서 생성형 AI를 활용하는 시나리오입니다.
여기서 위치는 업무망:S등급, 주체는 업무 단말 : S등급 객체는 AI 서비스 : O등급 입니다.
업무 단말은 일차적으로 내부 시스템에서 업무 시스템에 접속한 뒤, 인증 과정을 거친 후 AI서비스에 접속하게 됩니다.
이럴 경우에 업무 통제 대상은 1. 업무 단말 2. 생성형 AI 3. 생성형 AI와 업무 단말간의 연계 체계입니다.
물론! 당연하게도 업무 단말과 업무 시스템 사이의 아키텍처는 제로트러스트로 서로 신뢰하지 않는 영역이어야하고, 악의적인 사용자로 인한 측면 이동이 불가해야 합니다.
이런 식으로 각 체계에 대한 적용하는 룰들을 지정해서 적용해야합니다.
위 그림은 인터넷 환경과 S등급 환경을 같이 쓸때의 보안 통제 구현한 조금 더 복잡한 구성도고, 각각의 단말기에서, ICAM(신원,계정,접근관리)와 UEM(통합 단말관리)를 통해서 제로트러스트 아키텍처도 구현하면서 가이드의 보안통제를 구현한 구성도입니다.
제가 처음 접했던 것보단 이론과 정책적인 부분들이 많아서 어렵네요..ㅎ
읽어주셔서 감사합니다.
아래 링크들은 작성할 때 참고한 문서들입니다.
https://www.ahnlab.com/ko/contents/content-center/36104?utm_source=chatgpt.com
국가 망 보안체계(N2SF) 전환 가이드: 핵심 개념과 안랩의 대응 전략 | AhnLab
블로그를 통해 N2SF를 이해하기 위해 알아야 할 핵심 개념과 C/S/O 등급 기준, 그리고 N2SF 환경 구축을 위한 안랩의 대응 전략을 함께 확인해보세요
www.ahnlab.com
https://www.skshieldus.com/report/eqstInsight/headline2505.html?utm_source=chatgpt.com
https://www.skshieldus.com/report/eqstInsight/headline2505.html?utm_source=chatgpt.com
Headline 망분리의 한계를 넘는 새로운 보안 패러다임: 국가 망 보안체계(N²SF) 도입과 시사점 관제사업그룹 관제사업3팀 고광진 팀장 ■ 개요 2003년 1월25일 발생한 분산 서비스 거부(DDoS) 공격은 대
www.skshieldus.com
[보안 101] N2SF란 무엇인가요?
[보안 101] 더보기 ▶ 매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념
www.igloo.co.kr
KISA 한국인터넷진흥원
ㅇ 자료명 : 국가 망 보안체계(N2SF) 실증 사례집 ㅇ 발행일 : 2026년 4월 ㅇ 주관기관 : 한국인터넷진흥원 본 사례집은 국가 망 보안체계(N2SF) 보안 가이드라인에 따라 국가 · 공공기관 업무환경을
www.kisa.or.kr
'취약점분석 (Blue Team) > Network' 카테고리의 다른 글
| [Network] Wireguard-go로 VPN 구축 실습 (0) | 2026.05.12 |
|---|---|
| 세미나 발표 자료 - 망분리로 보는 내부망 구조 (0) | 2026.05.12 |
| 홈페이지 제작기 - 2 (0) | 2026.05.07 |
| 망분리 환경 운영 (vdi, 원격접속 통제) 토스 가디언즈 세미나 (0) | 2026.05.05 |
| [Network] ELK Stack (Elastic Stack) (0) | 2026.04.30 |