신용석 국가안보실 사이버안보비서관이 11일 서울 강남구 코엑스에서 열린 CSK 2024의 '대한민국 사이버안보 정책 방향' 발표 행사에서 발언하고 있다. 진동영 기자“망 보안 정책을 다층보안체계(MLS)로 전환하는 건 고속도로를 만드는 것과 같습니다. ‘디지털 고속도로’를 기반으로 다양한 시장을 새롭게 열어 디지털 경제를 창출할 것입니다.”
국가정보원 관계자가 11일 서울 코엑스에서 열린 ‘사이버 서밋 코리아(CSK) 2024’에서 국가 망 보안정책 개선 로드맵을 발표하면서 한 발언이다.
내년부터는 공공 업무에 사용되는 PC에서도 인터넷을 기반으로 한 생성형 인공지능(AI)과 클라우드 등 정보기술(IT) 첨단 신기술을 활용할 수 있게 된다. 18년째 획일적으로 적용돼 온 정부의 망 분리 정책이 신기술 도입을 가로막는 장애물로 지목되면서 기술 패권 시대에 걸맞는 시스템으로 전환을 앞두게 됐다.
공공에서도 챗GPT·클라우드 쓴다
12일 국정원에 따르면 내년부터 본격적으로 정부 부처·공공기관 등 국가 망에 다층보안체계가 적용된다. 데이터 중요도에 따라 등급을 차등화해 보안 방식을 유연하게 적용한다는 취지다. 신용석 국가안보실 사이버안보비서관은 이에 대해 “인터넷과 AI, 클라우드를 활용해 업무 생산성을 획기적으로 개선하자는 게 망 보안 정책의 중요한 목적”이라고 설명했다.
망 분리 규제는 내·외부 네트워크 망을 물리적으로 분리하는 보안 기법이다. 우리나라는 2006년부터 정부 부처 및 공공기관에서 망 분리를 시행해 왔다. 공공 업무에서도 인터넷을 쓸 수는 있지만 외부망에 연결된 별도 PC를 사용해야 했다. 물리적으로 망을 분리했기 때문에 외부의 침투를 효과적으로 방어하는 데에는 효과적이었지만 외부와의 연결이 이뤄지지 않기 때문에 생성형 AI 시대에 첨단 IT·인프라를 도입하기 어렵다는 지적이 꾸준히 제기돼 왔다.
윤석열 대통령은 지난해 12월 “AI 시대에 걸맞은 폭넓은 공공데이터 활용 체계를 갖추라”며 망 분리 규제 완화를 주문했다. 이후 국정원은 올해 초부터 디지털플랫폼정부위원회, 금융위원회, 개인정보보호위원회 등 관계기관 및 산업계, 학계, 연구계 전문가가 참여한 ‘국가 망보안정책 개선 태스크포스(TF)’를 구성하고 대책 마련에 착수했다. TF는 업계 간담회와 워크숍 등을 개최하면서 현장의 의견을 수렴하고 보안 정책 개편을 이한 청사진을 그렸다.
정부는 로드맵을 통해 업무 정보를 보안 등급에 따라 기밀(C)·민감(S)·공개(O) 등 3개로 분류했다. 여기에 각 등급별 보안 통제를 달리 적용하는 방식을 제시했다. 분류된 정보들은 모델링 평가를 거쳐 등급에 따른 보안대책으로 관리된다. 등급별로 보안 통제를 달리해 데이터 공유를 보다 수월하게 한다는 구상이다. 보안대책은 리스크 관리 프레임워크(RMF) 및 제로트러스트 등 기반으로 국내 여건을 반영했다.
업무 관련 인터넷 활용도 수월해진다. 현재는 인터넷 검색이 가능한 별도 단말에서 인터넷을 활용할 수 있긴 했지만 문서 편집·소프트웨어 사용 등이 제한돼 업무 생산성에 도움이 되지 않았다. 다층보안체계 전환에 따라 문서편집기와 협업용 소프트웨어, 클라우드, 기타 인가 소프트웨어 등을 인터넷 PC에 설치해 직접적으로 업무에 활용할 수 있게 됐다.
또한 업무용 PC에 인터넷을 연결해 챗GPT 등 생성형 AI를 직접 접속해 업무에 활용하는 것도 가능해진다. 외부 클라우드 접속이 가능해져 국외 기관이나 민간 등과 업무 협업 체계를 구성할 수도 있게 된다. 인터넷에 접속해 개발에 필요한 오픈소스를 활용하거나 필요시 원격 개발을 수행하는 등 개발 환경 편의성 또한 대폭 높이도록 했다. 악성코드 등 외부의 보안 공격에 대비해 업무용 PC는 운영체제(OS)에 악성코드 감염 차단 환경을 구축한다.
국정원 관계자는 “외부와 서비스형소프트웨어(SaaS) 기반의 협업 체계를 만들고 이를 통해 기관 내부 단말 뿐 아니라 모바일 등으로 장소 제약 없이 협업을 할 수 있게 될 것”이라고 설명했다.
정부는 다층보안체계 전환을 통해 업무 단말에서 신기술을 더 적극적으로 활용, 업무 효율성을 높이고 개선된 공공 서비스를 제공할 수 있을 것으로 기대했다. 제로트러스트 등 다양한 보안기술의 수요 증가로 인한 정보보안 산업 확대 및 AI·클라우드·데이터 산업 분야의 경제 기여 확대도 예상된다. 정부는 디지털플랫폼정부위원회 주관으로 8개 추진과제를 시범사업으로 추진하고 내년부터 본격적인 개편안 적용에 나설 방침이다.
글로벌 보안 스탠더드로…AES 허용
국정원은 이와 함께 국내 표준 뿐 아니라 국제표준을 따른 암호 모듈도 공공기관에서 사용할 수 있도록 길을 열었다. 국정원은 공공 암호모듈 검증제도(KCMVP)에 국제표준암호 AES 활용을 허용하겠다는 계획을 밝혔다.
국정원은 그동안 주요 국가·공공기관에서 사용하는 암호모듈의 안전성을 검증하는 암호모듈 검증제도에서 국내 개발 암호인 SEED·ARIA·HIGHT·LEA만 허용했다. 2005년 KCMVP를 처음 시행할 당시 외국에서 개발한 암호에 대한 해독 우려가 제기된 데 따른 조치였다.
국가정보원과 국가보안기술연구소가 주최한 2024 사이버 공격방어대회(CCE)에서 참가자들이 작업에 열중하고 있다. 사진 제공=국가보안기술연구소이로 인해 국내 암호 연구 활성화와 인력 양성 등 긍정적인 효과가 있었지만 반대로 국제화·범용성 증대 등에 적응하지 못한다는 반론도 만만찮게 제기돼 왔다. 보안 환경이 변화한 만큼 글로벌 스탠더드에 따라야 한다는 주장이다.
국제표준암호인 AES는 전 세계에서 가장 많이 사용하는 암호 알고리즘이다. 국내 기업들 또한 수출을 위해서는 제품에 AES를 탑재해야 하는 상황이 이어졌다.
이 같은 상황에서 국정원은 경제적 효과와 산학연 전문가 의견 등을 고려해 암호모듈 검증제도에서 AES를 허용하는 방안을 검토했다. 국정원은 2022년 사물인터넷(IoT)·자율주행차량 등에서 AES의 활용도가 높아진다는 점을 확인하고 연구용역을 거쳐 AES 허용이 필요하다는 결론을 도출했다. 5~6월 개최한 산·학계 간담회에서 조사한 결과 AES 허용 찬성 비율이 85%에 달했다.
국정원은 지난달 검증위원회 심의를 거쳐 AES 허용을 최종적으로 결정했다. 다만 산업계와 시험기간의 준비기간을 감안해 본격적인 시행은 2026년 1월부터 시작할 예정이다.
국정원은 AES 허용으로 국내 업체의 수출 경쟁력이 강화되고 개발 편의성에서도 긍정적인 효과를 거둘 것으로 기대한다. 또 미국이 무역장벽보고서 등을 통해 AES 허용을 10년 이상 지속 요청해온 만큼 이번 조치를 통해 무역장벽 논란도 해소될 것으로 예상했다.
국정원 관계자는 “AES 허용 결정에 따라 내년 8월까지 기업에서 개발에 활용할 수 있는 구현안내서(가이드라인)와 자가시험도구를 새롭게 개발해 배포할 예정”이라며 “내년 중으로 시험 기관을 추가 지정해 검증 수요 증가에 대비하겠다”고 말했다.
