공공 망분리 의무화 규제 확 푼다…관공서에서 PC 한대로 업무볼까

등록 2024.08.07 06:01:00수정 2024.08.07 09:00:52

정부, 내달 초 제도 개선안 초안 발표…데이터 중요도 따라 3등급 차등 규제

일반 등급은 규제 풀고 기밀 데이터는 물리적 망분리 유지

공공기관 AI·클라우드 혁신 일 것…제로트러스트 新보안수요 확대 기대

(사진=유토이미지) *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = 공공망 분리 제도가 18년 만에 확 바뀐다. 망분리 제도는 말 그대로 외부 인터넷망과 내부 업무망을 분리해 사용하도록 하는 보안 정책이다. 이 때문에 그동안 정부 행정부처와 주요 공공기관·금융기관 임직원들은 업무용 시스템과 연결된 PC와 외부 인터넷망에 연결된 PC를 각각 따로 써야 했다.

그러나 앞으로는 기관·데이터 중요도에 따라 국가 안보에 필요한 기밀 데이터와 시스템을 제외하곤 이같은 보안 규제를 풀어주기로 했다. 민감하지 않은 데이터의 경우, PC를 따로따로 쓰기보다 소프트웨어(SW)를 이용해 내·외부망을 논리적으로 분리하거나, 보안 시스템이 제대로 작동되는 조건에서 외부 접근을 허용해주는 방식 등이 허용될 전망이다.

정부는 이같은 내용을 담은 공공망 분리제도 개선안(초안)을 오는 9월 초 발표할 예정이다. 공공기관과 산업계에선 공공 데이터를 활용한 인공지능(AI) 서비스 개발이 활발해지고 클라우드 보안 등 정보보호 서비스 수요가 크게 늘어날 것이라며 반기고 있다.

18년 만에 대대적 수술…제도 유지→규제 완화 기조 바뀐 이유

공공망 분리 제도는 정부·공공기관에서 내부 업무 시스템과 외부 인터넷망을 물리적으로 분리·운용하는 것을 골자로 2006년부터 시행된 제도다.

실제 주요 행정기관에선 대부분의 공무원들은 업무용 PC와 인터넷 PC를 따로 써왔다. 인터넷 서핑 혹은 파일 다운로드 등을 통해 내부망에 악성코드가 숨어들거나 해킹 공격을 통해 데이터가 유출되는 것을 원천 차단하겠다는 취지에서다.

우리나라가 시행하는 공공 보안정책 중 세계 유례를 찾기 힘들 정도로 강력한 규제다. 그 덕분일까. 이전과 비교해 정부공공기관 대상 침해사고가 눈에 띄게 줄었다. 반면 기관 종사자들은 상당한 불편함을 감수해야 했다. 업무 효율도 떨어질 수밖에 없었다는게 공무원들의 평가다. 책상 위 업무용 PC와 외부PC를 번갈아 쓰기도 불편했고 데이터를 옮기는 것도 여의치 않았다.

코로나 팬데믹 이후 공공망 분리제도의 실효성 논란이 수면 위로 부상했다. 원격·재택근무 시 업무망 접속이 불가능했고 클라우드 서비스 이용에도 제동이 걸리면서 이에 따른 불만들이 폭주했다. 그러나 팬데믹 상황에서도 끊이지 않던 랜섬웨어 공격과 국제문제로까지 비화된 북한발 사이버 공격 이슈로 안보 당국의 '제도 유지'론에 힘이 실려왔다.

그러다 지난해부터 '규제 완화'로 분위기가 급선회했다. 망 분리 제도가 원격 근무 등 효율적인 업무를 가로막고 정부·민간 간 자유로운 데이터 이동과 디지털플랫폼 정부 구현에 발목을 잡고 있다는 불만들이 쏟아지면서 결국 제도를 손보기로 결정한 것. 국가정보원은 국가안보실, 디지털플랫폼정부위원회 등 관계부처들과 함께 지난해부터 망 분리 개선 태스크포스(TF)를 본격 가동해왔다.

데이터 중요도에 따라 규제 차등 적용…기밀 데이터 보안은 더 강화하고 나머진 규제 푼다

현재 정부가 추진 중인 제도 개선안은 데이터 등급(기밀·민감·공개)을 나눈 뒤 등급에 따라 규제를 차등 적용하는 것이 골자다. 이른바 '다중계층보안(Multi Level Security, MLS)'을 도입하는 것이다. 이를 통해 내·외부를 경계하는 형태의 보안이 아닌 데이터 중심의 보안 체계로 전환하는 것이 최종 목표다.

MSL은 데이터 중요도를 3등급으로 분류하고 가장 낮은 등급은 망분리를 완화해, 보호해야 하는 정보에 대한 보안은 더욱 강화하고 활용 가치가 높은 정보는 과감히 공유하도록 한다.

가령, 보안이 요구되는 기밀데이터의 경우 기존처럼 망 분리를 유지하고 최고 수준의 접근통제 정책을 시행하지만, 나머지 등급에 대해서는 소프트웨어(SW)를 이용해 논리적 망 분리를 시행하거나 보안 시스템 가동을 전제로 규제를 데이터를 풀어주는 방식이다. 다루는 시스템 중요도에 따라 인증 등급을 구분한 클라우드보안인증(CSAP) 등급제와 유사한 방식이라고 보면 된다.

다만, 망 분리 규제 완화 시 외부 망과의 접점이 크게 늘어날 수 있는 만큼, 어떤 접점 구간에서도 외부 접근을 원천 차단한 뒤 검증된 접근요청만 허용하는 제로트러스트 원칙을 적용하는 방식이 유력시 되고 있다.

제로트러스트 보안모델은 말 그대로 '아무것도 믿지 말고, 계속 검증하라'는 새로운 보안 개념이다. 해커가 네트워크 내·외부 어디든 존재할 수 있으며 모든 접속 요구는 신뢰할 수 없다는 가정 하에, 보호해야 할 모든 데이터와 컴퓨팅 서비스를 각각 분리·보호한다.

기존 전통적인 보안체계는 '입구만 잘 지키는' 형태였다면, 제로트러스트 모델은 시스템 관문마다 문지기를 세운다는 것이 다른 점이다. 서버, 컴퓨팅 서비스·데이터 등을 각각 분리·보호하기 때문에 특정 시스템이 뚫린다 해도 다른 시스템은 지킬 수 있다. 신원이 확인된 사용자라할 지라도 최소한의 접근권한만 부여하고, 다양한 추가인증 절차를 두기 때문에 내부자와의 공조도 쉽지 않다.

정부는 제도 개선안을 전면적으로 시행하는 대신 내년 시범 사업과 검증 작업을 거쳐 2~3년 내 순차 적용하는 방안을 검토 중이다.

"AI 강국 향한 공공 혁신"…클라우드 보안 등 새 시장 열릴 것

망분리 제도 개선안이 시행될 경우 상당수 공공·금융기관들이 클라우드· AI 등 신기술 적용이 본격화되면서 공공분야 혁신이 가속화될 전망이다. 아울러 공공 데이터 개방 폭이 넓어지면서 AI 산업 경쟁력도 한단계 업그레이드될 전망이다.

김승주 고려대학교 교수는 "현재 정부가 준비 중인 안은 데이터 중요도에 따라 망분리를 합리적으로 개선하자는 것으로, 미국 등이 채용하고 있는 선진국형 모델"이라며 "이를 통해 데이터 활용성이 크게 강화되고, 공공과 국방, 금융에서 다양한 클라우드 기반 서비스들과 양질의 AI를 활용할 수 있게 될 것"이라고 설명했다.

클라우드 보안·제로트러스트 보안모델 등 보안 신기술 수요도 대폭 늘어날 전망이다. 제2의 보안시장 특수(特需)도 예상된다. 보안 업계 관계자는 "망분리 제도가 개선된다면 망 시장은 더욱 커질 것이며, 향후 제로트러스트에 대한 새로운 시장도 펼쳐질 것"이라며 "여러 방면에서 시장 기회 커지고 먹거리가 다양해질 것으로 기대된다"고 말했다.

반면, 일각에선 보안 공백의 우려도 있다. 한 관계자는 "망 분리 제도 운용상 불편함이 컸던 건 사실이나, 다른 국가에 비해 철통 보안을 할 수 있었던 비결이기도 하다"며 "충분한 대책과 검증없이 망분리 규제를 서두르다간 보안의 물리적, 논리적 격벽이 약해져 전체 보안시스템이 와해되는 사태에 직면할 수도 있다"고 지적했다.

◎공감언론 뉴시스 [email protected]