보안(News)

획일적 망 분리의 종말, 5월 N2SF 본격 시행: 확 바뀌는 공공 사이버보안 지침 총정리

person GOEST지기 | calendar_today 2026. 4. 24.

 

"오랜 기간 공공기관 보안의 절대 원칙이었던 '망 분리' 규제가 역사 속으로 사라집니다. 클라우드와 AI 시대에 발맞춰, 데이터의 중요도에 따라 보안을 차등 적용하는 'N2SF(국가망보안체계)'가 공공 보안의 새로운 표준으로 자리 잡습니다."

 

오는 2026년 5월부터 대한민국 공공 사이버 보안의 패러다임이 완전히 뒤바뀝니다. 국가정보원(이하 국정원)은 급변하는 IT 환경을 반영해 3년 만에 대대적으로 개편한 '국가 사이버보안 기본 지침'을 이르면 5월 초부터 전면 시행한다고 밝혔습니다. (기존 '국가 정보보안 기본 지침'에서 명칭 변경)

최근 개최된 '제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 발표된 개정안 초안을 바탕으로, 공공기관 및 관련

IT/보안 기업들이 반드시 알아야 할 4가지 핵심 변화를 정리해 드립니다.

1. 획일적 망 분리 폐지와 'N2SF' 도입

가장 파격적인 변화는 단연 기존 지침의 '망 분리 조항 삭제'입니다. 무조건적으로 업무망과 인터넷망을 물리적으로 나누던 방식에서 벗어나, 데이터 중심의 등급별 보안 체계인 N2SF(National Network Security Framework)가 제도적으로 명문화되었습니다.

  • 데이터 3등급 분류: 모든 정보를 기밀(Classified, 1~4호), 민감(Sensitive, 5~8호), 공개(Open) 등급으로 나누어 보안 통제를 차등 적용합니다.
  • 혁신 기술 도입 허용: 보안성은 유지하면서도 공공부문에서 클라우드와 생성형 AI 등 신기술을 유연하게 도입하고 업무 효율성을 극대화할 수 있는 길이 열렸습니다.
  • 상세 가이드라인 반영: 지침에는 N2SF 구현을 위한 CDS(Cross-Domain Solution) 및 온북 등의 신규 개념과 요건이 명확히 정의되었습니다.

2. 보안 예산 및 인력 확보의 '의무화'

보안 정책이 선언에 그치지 않고 실제 집행력을 갖출 수 있도록, 예산과 인력에 대한 강력한 강제 조항이 신설되었습니다.

  • 기존 지침에서 '노력해야 한다'는 권고 수준에 머물렀던 기준이 '운영하여야 한다'는 필수 의무 사항으로 격상되었습니다.
  • 이에 따라 각급 기관은 정보화 예산 대비 보안 예산 15% 이상, 정보화 인력 대비 보안 인력 10% 이상을 반드시 확보해야 합니다. 이는 공공 보안 시장의 실질적인 투자 확대로 이어질 전망입니다.

3. 다중 인증(MFA) 의무화 및 강제 설치 플러그인 퇴출

사용자 인증 체계와 기술적 보안 요건도 최신 트렌드와 사용자 편의성에 맞춰 대폭 개선됩니다.

  • MFA 및 SSO 적용: 원격 근무자와 정보시스템 관리자는 생체 인증 등 서로 다른 방식을 결합한 다중 인증(MFA)을 의무적으로 적용해야 하며, 통합 보안 인증(SSO) 체계가 반영됩니다.
  • 보안 SW 강제 설치 최소화: 과거 해킹의 주요 통로로 악용되거나 사용자 불편을 초래했던 공인인증서 패스워드 입력용 등 플러그인 소프트웨어의 강제 설치 방식을 점진적으로 최소화합니다.
  • 증거 인멸 원천 차단: 해킹 사고 발생 시 기관이나 용역 업체가 로그 및 피해 자료를 임의로 삭제하거나 포맷하여 조사를 방해하는 행위를 엄격히 금지하는 조항이 추가되었습니다.

4. AI 및 민간 클라우드 보안 기준 신설

AI 기본법 제정 등 기술 변화에 따른 공공기관의 혼선을 막고 보안 공백을 메우기 위한 명확한 기준이 세워졌습니다.

  • AI 시스템 보안 대책: AI 시스템의 정의부터 보안성 검토 대상, 구축 및 운용 시 준수해야 할 구체적인 모델 요건과 보안 대책이 규정되었습니다.
  • 민간 클라우드(SaaS) 도입 명문화: 각급 기관이 안전하게 도입할 수 있는 민간 클라우드 요건을 지침에 반영했으며, 허용된 SaaS 서비스 목록은 향후 국정원 홈페이지를 통해 공개될 예정입니다. (단, 교육 현장은 예외 조항 적용)

결론: 폐쇄망에서 '통제된 데이터 중심 망'으로의 진화

이번 국정원의 지침 개정은 단순히 규제를 푸는 것이 아닙니다. 사이버 위협이 고도화되는 상황에서, 지키기 어려운 낡은 성벽(망 분리)을 고집하는 대신 '지켜야 할 핵심 데이터에 보안 역량을 집중'하겠다는 전략적 패러다임 전환입니다.

오는 5월 신규 지침 시행을 기점으로, 공공기관의 IT 인프라 구조와 보안 솔루션 도입 기준은 완전히 새롭게 재편될 것입니다. 공공 사업을 준비하는 IT/보안 기업과 각급 기관의 담당자들은 N2SF 기반의 새로운 컴플라이언스에 맞춘 민첩한 대응 전략 수립이 그 어느 때보다 시급한 시점입니다.

'보안(News)' 카테고리의 다른 글

"마른걸레 쥐어짜기 식 보안은 그만"... 정부-앤트로픽 회동과 '글래스윙' 참여가 시급한 이유  (0) 2026.05.07
해킹 준비에 하루면 끝? '미토스' 쇼크에 대응하는 보안 업계의 새로운 무기  (1) 2026.04.29
사라진 방어 골든타임: AI 해킹 시대, 기업 생존을 위한 5가지 보안 패러다임 전환  (0) 2026.04.21
중소기업 노리는 '미드나이트' 랜섬웨어: KISA 합동 주의보와 3대 방어 수칙  (0) 2026.04.17
IMF의 경고와 '미토스(Mythos)' 충격: AI 해킹 공격 앞에 노출된 글로벌 금융망  (0) 2026.04.14
auto_awesome

'보안(News)' 카테고리의 다른 글

"마른걸레 쥐어짜기 식 보안은 그만"... 정부-앤트로픽 회동과 '글래스윙' 참여가 시급한 이유

2026.05.07

해킹 준비에 하루면 끝? '미토스' 쇼크에 대응하는 보안 업계의 새로운 무기

2026.04.29

사라진 방어 골든타임: AI 해킹 시대, 기업 생존을 위한 5가지 보안 패러다임 전환

2026.04.21

중소기업 노리는 '미드나이트' 랜섬웨어: KISA 합동 주의보와 3대 방어 수칙

2026.04.17
더 보기 →