국가정보원이 지난 9월 새로운 보안체계인 '다중계층보안(MLS)'을 발표한 이후 보안 산업계가 들썩이고 있다. 각 기업은 이 변화가 자사에 미칠 유불리를 따지며 상황을 주시하고 있다. 우려도 있지만 기대가 큰 것도 사실이다.
국내 공공분야 보안 정책은 오랜 기간 단순하고 획일적으로 유지돼왔다. 공공기관 내외부 데이터는 망분리를 통해 분리했다. 공공에 납품하는 정보보안 제품은 모두 공통평가기준(CC) 인증을 받도록 했다.
이처럼 단순하면서도 일률적인 보안 정책은 보안성을 높이는 데 있어 나름의 성과를 거뒀다. 하지만 그에 따른 불편함과 업무 비효율성은 꾸준히 지적돼왔다. 세상이 데이터 중심으로 바뀌었는데 데이터 활용의 발목을 잡는다는 비판도 적지 않았다.
MLS는 공공기관이 생성·보유·활용하는 정보(데이터)와 자산을 기밀·민감·공개(C·S·O) 등급으로 나누어 차등적 보안 조치를 하는 게 핵심이다. 중요 정보는 망분리를 유지하고 그렇지 않은 정보는 공개해 공공데이터 활용을 활성화하는 게 목적이다.
미국의 보안 체계인 '페드램프(FedRAMP)'처럼 데이터 중요도에 따라 차등 보안 정책을 적용하는 것이다. 이는 단순히 기술적 관점을 넘어 공공 보안체계에 대한 철학과 접근 방식의 근본적 변화를 의미한다.
MLS가 도입되면 인공지능(AI), 클라우드 같은 신산업에 긍정적 영향을 미치게 된다.
범정부 초거대AI와 공공데이터를 융합해 공공서비스를 개선하고, 민간에서도 공공데이터 기반 혁신 서비스를 개발할 수 있다. 공공 진입이 쉽지 않았던 서비스형 소프트웨어(SaaS) 등 민간 클라우드 업계는 일대 전환점을 맞을 수 있다.
망분리가 물러난 자리엔 제로트러스트 등 첨단 보안 기법이 적용된다. 아직은 초기인 제로트러스트 산업이 본격 성장할 수 있는 기회다. 관련 컨설팅 등 새로운 시장도 열리게 된다.
정부는 연내 MLS 로드맵을 최종 확정해 내년부터 시행할 계획이다. 정보를 C·S·O 등급별로 분류하기 위한 세부 가이드라인과 등급별 보안 적용 방식, 향후 MLS 확산 타임라인 등이 담길 것으로 보인다.
오래된 보안 체계를 뒤흔들 커다란 변화인 만큼 혼란도 불가피할 전망이다. 등급 분류를 위한 가이드라인이 마련되더라도 현장에서는 판단이 모호한 정보가 수두룩할 수밖에 없다. 국정원이 기관별, 상황별로 일일이 지침을 정하기가 어려운 만큼 각 기관이 해결해야 할 과제로 남을 전망이다.
기존 보안인증 체계에 대한 방향성도 정해야 한다. MLS 체계에서 제품별 CC인증과 클라우드 보안인증(CSAP)이 어떻게 달라질지 명확히 해야 업계 혼란이 줄어들 수 있다.
이 모든 일들이 마무리되기까지 적지않은 시간이 필요할 전망이다. 많은 시행착오도 예상된다. 공공기관과 보안 기업은 예상되는 혼란과 이를 줄이기 위한 의견을 적극 피력해 MLS 체계의 연착륙을 유도해야 한다.
MLS는 보안 체계의 변화만을 의미하진 않는다. 첨단 기술 산업 발전을 가속화하고 공공 업무의 일대 변혁을 가져올 수 있다. MLS의 성공적 도입과 안착을 위해 보안 관계기관과 산업계의 역량을 결집해야 할 때다.
안호천 기자 hcan@etnews.com
