국정원, 'CSK 2024'에서 주요 사이버안보 정책방향 공개
국가 망에 다층보안체계(MLS) 적용·全공공분야에 국제표준암호 AES 허용
[서울=뉴시스]송혜리 기자 = 앞으로 공공기관 업무시스템 보안 규제가 대폭 완화된다. 정부 공공기관들의 인공지능(AI) 기술과 데이터 활용을 넓히겠다는 취지다. 대표적인 게 공공망 분리제도 개선책이다. 그동안 정부 공공기관에선 보안을 이유로 내·외부망을 각각 분리해 따로 써야 했다. 이는 공무원들의 업무 효율을 떨어뜨릴 뿐 아니라 클라우드·AI 등 첨단 기술 활용을 더디게 했다.
이에 따라 정부는 일률적인 망 분리 대신 데이터 중요도에 따른 망 분리 대상 시스템을 나누기로 했다. 데이터 중요도를 나눠 가장 낮은 등급의 데이터의 경우, 망 분리 규제를 대폭 풀어 과감히 공유하도록 하겠다는 의지다.
◆공공망 족쇄 풀린다…데이터 중요도 따라 보안규제 차등화
정부는 11일 서울 강남구 코엑스에서 열린 국제 사이버안보 행사 'CSK 2024'를 통해 ▲망분리 정책 유연화·암호모듈검증제도(KCMVP) 개선책을 내놨다.
우선 정부는 현재의 일률적 공공망 분리 제도를 개선해 데이터 중요도에 따라 망 분리 등급을 차등화하는 '다층보안체계(Multi Level Security, MLS)'를 도입한다.
공공망 분리 제도는 정부·공공기관에서 내부 업무 시스템과 외부 인터넷망을 물리적으로 분리·운용하는 것을 골자로 2006년부터 시행된 제도다. 이 때문에 그동안 정부 행정부처와 주요 공공기관·금융기관 임직원들은 업무용 시스템과 연결된 PC와 외부 인터넷망에 연결된 PC를 각각 따로 써야 했다.
그러나 이런 망분리 제도가 원격 근무 등 효율적인 업무를 가로막고 정부·민간 간 자유로운 데이터 이동과 디지털플랫폼 정부 구현에 발목을 잡고 있다는 불만들이 쏟아졌다.
결국 정부는 제도를 손보기로 결정했다. 국가정보원은 국가안보실, 디지털플랫폼정부위원회 등 관계부처들과 함께 망 분리 개선 태스크포스(TF)를 본격 가동해왔다.
TF는 업계 간담회·워크숍 개최 등 다양한 의견수렴 과정을 거쳐 마련된 다층보안체계 전환 로드맵(안)을 마련했다. MLS는 국가 전산망의 업무정보 중요도에 따라 기밀(Classified)·민감(Sensitive)·공개(Open) 등급으로 분류된다. 등급별 서로 다른 보안통제로 데이터 공유를 보다 원활하게 하겠다는 목표다.
정부는 이번 다층보안체계가 국가산업의 대동맥인 경부고속도로와 같이 공공데이터가 더욱 개방되고 쉽게 활용되는 디지털 고속도로의 기반을 제공할 것으로 기대하고 있다.
특히 공공 업무 단말에서 AI·클라우드 등 신기술 활용으로 업무 효율성을 높이고 더 나은 공공 서비스를 제공하게 될 것이라고 강조했다. 아울러 제로트러스트 등 다양한 보안기술 수요 증가로 인한 정보보안 산업 확대 및 AI·클라우드·데이터 산업 분야의 경제 창출도 예상된다고 설명했다.
다층보안체계는 올해까지 '국가 망보안정책 개선 TF'를 통한 각계 의견수렴·보완을 이후 최종 확정해 내년부터 시행된다.
◆ 암호모듈 공급 문턱 낮춘다 …2026년부터 AES 기반 제품도 韓 공공기관 납품 가능
국내 표준뿐 아니라 국제표준을 따른 암호모듈도 공공기관에 납품할 수 있는 길도 열렸다. 국정원은 이날 공공 암호모듈 검증제도(KCMVP)에 국제표준암호 AES(Advanced Encryption Standard) 활용도 허용하기로 했다고 밝혔다.
국정원은 그간 주요 국가·공공기관에서 사용하는 암호모듈의 안전성을 검증하는 암호모듈 검증에 국내에서 개발한 암호인 시드(SEED), 아리아(ARIA), 하이드(HIGHT) 리아(LEA)만 허용해왔다. 이는 지난 2005년 암호모듈 검증제도를 시행할 당시, 외국에서 개발한 암호에 대한 해독 우려에 따른 조치였다.
그러나 보안 환경의 변화로 인해 국제화와 범용성 증대를 위해 글로벌 표준을 허용해야 한다는 의견이 대두했다. 아울러 우리 기업들이 수출을 위해서 제품에 AES를 탑재해야 하는 상황이 발생했다.
이에 국정원은 경제적 효과와 산학연 전문가 의견 등을 고려해 암호모듈 검증제도에서 AES를 허용하는 방안을 검토해왔다. 특히 2022년 사물인터넷(IoT)·자율주행차량 등에 AES의 활용도가 점차 높아지고 있어 이에 대한 연구용역을 진행했으며 AES 허용이 필요하다는 결론을 도출했다. 지난 5~6월에 산·학계 간담회 등을 통해 AES 허용에 대한 찬성 의견을 조사한 결과, 찬성률이 85%에 도달해 공감대가 형성된 것을 확인했다고 설명했다.
국정원은 지난달 암호모듈 시험 및 검증지침에 의거, 검증위원회 심의를 거쳐 AES를 허용을 최종적으로 결정했다. 다만 산업계와 시험기관의 준비기간을 고려해 오는 2026년 1월부터 시행할 예정이다.
국정원은 AES를 허용함에 따라 국내 업체의 수출 경쟁력 강화와 더불어 개발 편의성이 증대할 것으로 기대하고 있다. 또 미국이 무역장벽보고서 등을 통해 AES 허용을 10년 이상 지속 요청해온 만큼 이번 조치를 통해 무역장벽 논란도 해소될 것으로 보고 있다.
국정원 측은 "특히 AES를 탑재한 외산 제품이 주요 공공분야에 도입되기 위해서는 해당 암호모듈이 안전하게 구현됐는지 국가정보원의 검증을 받아야 하므로 안보 측면의 우려도 없을 전망"이라고 강조했다.
◎공감언론 뉴시스 chewoo@newsis.com