물리적 망분리의 종언, CSO 데이터 등급제와 N²SF의 시대가 열리다
2026년 5월, 물리적 망분리 의무가 마침내 폐지되었습니다. 18년 만에 '차단'의 시대가 저물고, N²SF(국가 망 보안체계)를 통한 데이터 중심의 '연결' 시대가 열린 것입니다. 이제 공공 보안의 핵심은 CSO 등급제를 활용한 정교한 통제와 제로 트러스트 기반의 상시 검증입니다. "내부망은 안전하다"는 고정관념을 버리고, 데이터 가치에 따라 보안 층위를 설계하는 유연함이 필요합니다.
2026년 5월, 공공기관의 물리적 망분리가 삭제됩니다.
18년간 대한민국 공공 보안의 철벽이었던 국가 정보보안 기본지침 제40조, 즉 업무망과 인터넷망의 물리적 분리 의무가 이달 폐지됩니다. 그 빈자리를 채우는 것이 바로 국가 망 보안체계(N²SF, National Network Security Framework) 와 CSO 데이터 등급제입니다.
"무조건 끊어라"에서 "데이터 중요도에 따라 차등 통제하라"로 — 오늘은 이 패러다임 전환의 의미와 보안 담당자가 지금 준비해야 할 것들을 짚어보겠습니다.
1. 왜 20년 된 '망분리' 규정이 사라졌을까?
그동안 공공기관은 보안을 위해 업무망과 인터넷망을 물리적으로 완전히 분리해 왔습니다. 국가 정보보안 기본지침 제40조가 그 법적 근거였고, 이는 2006년 이후 약 18년간 유지된 정책입니다.
하지만 AI와 클라우드 전환이 가속화되면서 다음과 같은 구조적 한계가 누적됐습니다.
- 업무 효율 저하: AI 도구 활용 불가, 업무망·인터넷망 PC 교체 반복, SaaS 협업툴 도입 원천 봉쇄
- 클라우드 도입의 걸림돌: 민간 SaaS·PaaS 연계 불가로 공공 디지털 전환 지연
- 데이터 활용 제약: 공공 AI 학습 데이터 확보 및 부처 간 데이터 공유 어려움
이에 따라 국가정보원은 2024년 9월 획일적인 망분리 대신 '데이터 중요도 중심의 다층 보안체계(Multi-Level Security)'로의 전환을 공식 선포했고, 이후 글로벌 스탠다드에 맞는 프레임으로 정비된 N²SF 라는 이름으로 2024년 12월 간판을 정식으로 바꿔 달았습니다. (전자신문 보도)
2. 핵심 요체: CSO 데이터 등급제
N²SF의 핵심은 데이터를 기밀(C), 민감(S), 공개(O) 세 단계로 분류하고 보안 수준을 차등 적용하는 것입니다. 기존 CSAP의 '상·중·하' 등급 체계도 이 CSO 분류와 연계하여 재편됩니다.
| 등급 | 명칭 | 해당 정보 | 보안 수준 |
|---|---|---|---|
| C | Classified (기밀) | 국가 비밀, 안보·국방·외교·수사 관련 정보, 국민 안전 직결 정보 | 물리적 망분리 유지 |
| S | Sensitive (민감) | 비공개 정보, 개인정보, 행정 내부 데이터 | 논리적 분리 + 보안 통제 하의 외부 연결 허용 |
| O | Open (공개) | 비식별화된 행정정보, 대민 서비스 데이터 | 인터넷 및 민간 SaaS 자유로운 활용 |
이 체계 하에서 보안 통제 항목도 기존 170여 개에서 260여 개로 대폭 세분화됩니다. '권한', '인증', '분리 및 격리', '통제', '데이터', '정보자산' 등 6개 영역에서 등급별로 선택·적용하는 방식입니다. (ZDNet Korea)
S등급이 핵심 전쟁터입니다. C는 여전히 물리적으로 분리되고, O는 사실상 자유화됩니다. 대부분의 공공기관 업무 데이터가 속하는 S등급에서 어떤 수준의 논리적 통제를 구축하느냐가 보안 아키텍처 설계의 핵심 과제가 됩니다.
3. 기술적 전환점: 제로 트러스트(Zero Trust)
규정 40조(물리적 망분리)가 삭제된 빈자리는 제로 트러스트 아키텍처가 채웁니다. "내부망은 안전하다"는 전제 자체가 사라지는 것입니다.
"Never Trust, Always Verify" — 항상 검증하고, 절대 신뢰하지 말라.
제로 트러스트의 세 가지 핵심 원칙은 다음과 같습니다.
- 지속적 검증 (Continuous Verification): 접속 위치와 관계없이 신원(IdP), 기기 상태, 컨텍스트를 매 접근마다 검증
- 최소 권한 원칙 (Least Privilege Access): 필요한 데이터에 필요한 시간만큼만 일시적 접근 권한 부여
- 가시성 확보 (Full Visibility): 모든 네트워크 트래픽의 실시간 모니터링 및 이상 징후 분석
국정원은 이미 2023년부터 K-제로트러스트 로드맵을 발표했으며, 2026년부터 전 국가·공공기관 대상 적용을 목표로 추진 중입니다. N²SF는 공공 영역의 제로 트러스트 구현체라고 볼 수 있습니다. (SK쉴더스 분석 리포트)
4. 타임라인: N²SF는 지금 어디까지 왔나?
| 시점 | 내용 |
|---|---|
| 2024년 9월 | 국정원, 망분리 개선 및 MLS 전환 공식 선포 |
| 2024년 12월 | 명칭 MLS → N²SF로 확정 변경 |
| 2025년 1월 | N²SF 가이드라인 초안 공개 |
| 2025년 9월 | CSK 2025에서 N²SF 가이드라인 정식 v1.0 발표 |
| 2026년 5월 | 新 국가 사이버보안 기본지침 시행 예정 (舊 제40조 물리적 망분리 삭제) |
현재 정식 가이드라인은 국가사이버안보센터(NCSC)를 통해 공식 배포 중이며, 기관별 준비 기간을 거쳐 2026년 5월 본격 적용됩니다.
5. 보안 담당자가 지금 준비해야 할 것들
N²SF 전환은 단순한 '규정 변경'이 아닌 보안 아키텍처 전면 재설계를 요구합니다. 보안 담당자들이 지금 당장 시작해야 할 세 가지입니다.
① 데이터 자산 분류 (Data Classification)
기관 내 모든 데이터를 C/S/O 기준으로 분류하는 인벤토리 작업이 선행돼야 합니다. 등급이 없으면 어떤 통제도 설계할 수 없습니다.
② IAM / SASE 솔루션 검토
S등급 데이터의 '조건부 외부 연결'을 안전하게 처리하려면 ID 기반 접근 제어(IAM), 클라우드 보안 접속 서비스(SASE), 네트워크 마이크로세그멘테이션이 필요합니다.
③ 보안 모니터링 체계 고도화
물리적 분리가 사라진 자리를 실시간 이상 탐지(NDR/EDR), SIEM 로그 통합 관리가 메워야 합니다. "보이지 않으면 막을 수 없다"는 원칙이 그 어느 때보다 중요해졌습니다.
정리하며
이번 변화는 공공 보안의 패러다임이 "무조건적인 차단"에서 "안전한 활용"으로 전환되는 역사적 전환점입니다.
단, 이것이 보안 수준의 후퇴를 의미하지는 않습니다. 오히려 더 정교한 통제, 더 많은 가시성, 더 세밀한 접근 제어가 요구됩니다. 물리적 벽 하나로 해결하던 시대는 끝났고, 이제는 데이터 하나하나에 적합한 보안 수준을 설계해야 하는 시대가 열렸습니다.
참고 자료
- ZDNet Korea — "18년 만에 손질"…망분리 정책 개선할 '新 국가 망 보안체계' 공개
- ZDNet Korea — 국정원 보안 통제 항목 176→260여개로…N2SF 정식 지침 공표
- 보안뉴스 — 국정원, '국가 망 보안체계' 정책 제시…N²SF 가이드라인 발표
- 전자신문 — 망분리 개선 정책, 'MLS'서 'N²SF'로 간판 바꿨다
- SK쉴더스 EQST — 물리적 망분리의 한계를 넘는 새로운 보안 패러다임: N²SF 도입과 시사점
- 국가사이버안보센터(NCSC) — N2SF 보안 가이드라인 v1.0 공식 배포
- 아이티데일리 — "망분리 폐지"…국정원, N2SF 기반 신규 지침 5월 시행
- KISA — 제로트러스트 가이드라인 1.0 (PDF)
- KISA — 제로트러스트 가이드라인 2.0
- KISO저널 — 제로트러스트 가이드라인, 새로운 사이버 보안 전략의 시작