美 NIST 참고…C·S·O 기준구체화
공공 AI·클라우드 활용 확대 기대
국가정보원이 미국 국립표준기술연구소(NIST)의 정보 분류 체계를 참고한 국가망보안체계(N2SF) 데이터 분류 가이드라인 마련에 나섰다. 기관별로 달랐던 기밀(C)·민감(S)·공개(O) 데이터 분류 기준을 구체화해 공공데이터의 인공지능(AI)·클라우드 활용을 활성화하기 위한 조치다.
국정원은 올해 말까지 N2SF 데이터 분류 가이드라인 초안을 마련하고 정부 부처와 산하 기관에 배포할 계획인 것으로 11일 확인됐다.
국정원은 이번 가이드라인 제정 과정에서 미국 'NIST SP 800-60'을 주요 참고 모델로 활용한다. NIST SP 800-60은 미국 연방정부 데이터와 정보시스템을 유형별로 세분화해 기밀성·무결성·가용성 영향을 기준으로 평가한 뒤 보안 수준을 3단계(상·중·하)로 분류하는 체계다.
이를 참고하는 건 실제 현장에서 바로 적용 가능한 사례 중심 분류라는 점 때문이다. NIST SP 800-60는 행정·재정·보건·국방·인사 등 업무 영역별 데이터 유형과 함께 권고 보안 영향도를 함께 제시하고 있다.
현재 국내 공공기관은 지난해 공개된 'N2SF 보안 가이드라인 1.0'을 기준으로 C·S·O 분류를 적용하고 있다. 가이드라인은 C를 법령상 비밀·비공개 정보, S를 공개 시 기관 업무나 개인·법인 이익을 침해할 수 있는 정보, O를 그 외 정보로 정의하고 있다.
하지만 실제 현장에서는 어떤 데이터를 S 또는 O로 분류해야 하는지에 대한 세부 사례와 적용 기준이 부족하다는 평가가 있어 왔다. 특히 보안 사고 부담으로 상당수 기관이 데이터를 보수적으로 상향 분류하는 경향도 있다.
국정원은 모호했던 데이터 등급 분류 기준으로 인해 기관별 해석과 적용 방식에 차이가 발생하자, 이를 표준화하고 현장 혼선을 줄이기 위해 가이드라인 제정에 나섰다. 구체적 분류 기준을 제시함으로써 담당자 재량 개입을 최소화할 방침이다. 과도한 C 분류 관행을 줄여 N2SF 취지에 맞는 데이터 활용성과 개방성을 높이겠다는 취지다.
N2SF는 데이터 중요도에 따라 보안 수준을 차등 적용하는 정책이다. 일률적 망분리 규제를 데이터 중심 보안 체계로 전환해 공공부문의 AI·클라우드 활용을 활성화하는 것이 핵심이다.
이번 국정원의 가이드라인 마련으로 S·O 데이터 범위가 구체화되면 공공 AI 서비스 도입과 서비스형 소프트웨어(SaaS) 활용 확대에도 속도가 붙을 것으로 예상된다.
국정원은 초안 공개 이후 정부 부처와 산하 기관 의견을 수렴해 가이드라인을 지속 보완할 방침이다.
김창훈 대구대 교수는 “데이터 분류 기준이 구체화되면 기관별 판단 편차를 줄일 수 있을 뿐 아니라 자동화 도구 기반 데이터 분류 체계 구축도 가능해질 것”이라며 “공공기관의 민간 클라우드·AI 활용 확대에도 긍정적 영향을 줄 수 있다”고 말했다.
박진형 기자 jin@etnews.com
