우리나라에서도 사이버보안의 위험관리 시대가 열리고 있다. 국가정보원은 국가망보안체계(National Network Security Framework·N2SF) 보안 가이드라인 1.0을 공표한 데 이어 올해부터 사이버보안 실태평가(100점 만점)에 N2SF 적용(5.5점) 및 구축 가산점(1점)을 포함해 국가·공공기관이 적극적으로 N2SF를 도입하도록 유도하고 있다.
N2SF의 위험관리 측면의 핵심은 △발생 가능한 다양한 위협을 식별하고 △그 발생 가능성(Likelihood)과 파급력(Impact)에 따라 위험(Risk)을 평가해 대응전략(회피·경감·전가·수용 등)과 우선순위를 결정한 후, △각 위협에 대응하는 보안통제를 선택해 적용(구현)하고 △구현된 보안통제를 검증·평가하며, △변화하는 운영환경과 위협 속에서 보안통제가 요구수준을 만족하고 있는지를 지속 모니터링하는 것이다.
N2SF는 미국 굴립표준기술연구소(NIST)의 위험 관리 프레임워크(RMF)를 기반으로 국내 거버넌스를 반영해 개발됐으며, 가이드라인의 기본철학과 절차를 따르면서 세부적인 사항은 각 기관이 자율적으로 정하도록 하고 있다. 다만 각 기관의 상황과 정보서비스의 구조가 서로 다르기에 세부적인 부분까지 획일적으로 한 가지 방법론을 적용하는 것은 맞지 않다. 따라서, 각 기관 맞춤형으로 N2SF를 적용해야 하며 이를 위한 N2SF 컨설팅이 정보보안 컨설팅의 한 축으로 형성되고 있다.
또 N2SF의 자율 위험관리 철학에 따라 발생 가능한 위협을 식별하고 위험 수준을 평가해 그에 상응하는 보안대책을 수립하는 전 과정을 각 기관이 자율적으로 결정하므로 이러한 결정이 타당성을 갖기 위해선 자체적인 검증이 매우 중요하다. 2025년 정부가 추진한 N2SF 실증사업 3개는 모두 컨설팅(N2SF 5단계 활동에 따른 자체보안대책 수립) → 구축(보안통제 구현) → 검증(구현된 보안통제의 N2SF 정합성 검증 및 모의해킹을 통한 위협해소 여부 확인)의 3단계 구조로 구성돼 있어 구축된 보안통제에 대한 검증을 하나의 사업 내에서 해결하고 있다는 점에서 바람직하며, 향후 N2SF 구축사업의 방향성을 제시하고 있다.
인공지능(AI)을 이용한 공격이 현실로 다가오고 있고 공격과 방어의 격차가 점점 더 심화하고 있는 상황에서 공격기법 하나하나를 정교하게 대응하는 것도 중요하지만, 이러한 모든 대응 노력의 기반이 되는 기초체력을 길러야 한다는 데는 모두가 동의할 것이다.
미국은 2002년부터 RMF 개념을 도입하고 20여년에 걸친 고도화를 통해서 엔터프라이즈망, 사물인터넷(IoT), 클라우드, 모바일 등 모든 유형의 정보시스템에 적용 가능한 범용 RMF로 발전시켜 왔으며 이러한 노력이 정보보안의 든든한 기초체력의 역할을 하고 있다.
필자가 국가보안기술연구소에 몸담으며 20년간 경험해 온 공공 보안의 현실과 지난해부터 참여해 온 N2SF 프레임워크 설계 및 가이드라인 1.0 집필 경험으로 미뤄 볼 때, 앞으로 N2SF 2.0은 공공 정보화 사업의 보안성 검토를 넘어 구축·운영 단계를 포괄하는 국내 거버넌스 맞춤형 전주기 RMF로서의 틀을 명확히 갖추며 국내 정보보안 기초체력의 핵심이 될 것으로 확신한다.
따라서, N2SF를 단순히 보안성 검토를 받기 위한 형식과 샘플 또는 사이버보안 실태 평가에서 점수를 받기 위한 일회성 수단 정도로 인식해선 안 된다. N2SF는 우리나라 사이버보안의 위험관리 시대를 여는 첫걸음이자 중대한 전환점이다. 위험관리의 철학과 절차를 정보보안 업무의 유전자(DNA)로서 내재화하려는 노력이 필요하며 이를 뒷받침할 수 있는 올바른 방향성을 갖춘 컨설팅과 검증의 역할이 매우 중요한 시점이다.
이철호 엔플러스랩 대표·아주대 사이버보안학과 겸임교수 chlee@npluslab.co.kr
