.png)
국정원이 지난 1일 발표한 ‘국가 사이버보안 기본지침’에 따르면, 내부망과 외부망을 일률적으로 분리하던 기존 방식에서 벗어나 정보 중요도에 따라 보안 수준을 달리 적용하는 체계가 도입됐다.
|
이번 개편의 핵심은 국가·공공기관의 장이 업무 정보를 기밀·민감·공개 3단계로 구분하는 것이다. 쉽게 말해 “이 정보, 인터넷이나 클라우드를 써도 되나”에 대한 기준을 명확히 한 것이다.
먼저 기밀등급은 국가 안보나 정책에 영향을 줄 수 있는 핵심 정보다. 군사·외교 문서, 대외비 자료 등이 해당하며, 기존처럼 외부와 완전히 분리된 환경에서만 처리해야 한다. 인터넷과 클라우드 사용은 원칙적으로 금지된다.
민감등급은 내부 보고서나 국회의 정책 검토 자료, 일부 개인정보처럼 외부 유출 시 문제가 될 수 있는 정보다. 이 구간부터는 변화가 크다. 암호화와 접근통제 등 보안 요건을 충족하면 외부망이나 국내외 클라우드 활용이 가능하다. ‘차단’에서 ‘관리·통제’로 보안 방식이 전환되는 영역이다.
공개등급은 보도자료나 공공데이터처럼 외부 공개가 가능한 정보다. 일반 인터넷망과 국내외 상용 클라우드를 자유롭게 활용할 수 있어 민간과 유사한 환경에서 운영이 가능하다.
이번 조치로 KT클라우드·네이버클라우드·NHN클라우드 등 국내 기업은 물론, AWS·MS 애저·구글 클라우드 등 외국계 클라우드 회사들의 공공 시장 진입 기회도 늘어날 전망이다.
암호 정책 변화…국제 표준 AES 활용 확대
더 큰 변화는 암호 정책이다. 국제 표준 암호 알고리즘인 AES 활용이 확대되면서 글로벌 보안 솔루션과의 호환성이 높아질 것으로 기대된다.
기존에는 국내 알고리즘(ARIA, SEED, LEA, HIGHT)만 검증 대상에 포함돼, 기업들이 AES 같은 국제 표준 암호를 사용하더라도 국내 암호를 함께 적용해야 했다. AES는 2000년 미국 국립표준기술연구소(NIST)가 차세대 암호로 채택한 이후, 전 세계에서 가장 널리 쓰이는 암호 표준이다.
다만 K-CMVP(국가암호모듈검증) 등 기존 인증 체계는 유지된다. 해당 제도는 국가정보원장이 공공기관 정보 보호에 사용되는 암호모듈의 안전성과 구현 적합성을 검증하는 체계로, 여전히 필수 절차로 작동한다. 이에 따라 외산 솔루션 도입이 즉각 확대되기보다는 점진적으로 변화가 나타날 것이라는 전망이 우세하다.
시장 영향은 ‘점진적’…“보안 운영 방식 전환”
이처럼 공공 보안 환경은 국산 암호 중심 구조에서 국제 표준을 병행하는 방향으로 이동할 가능성이 크다. 다만 실제 시장 변화는 기관별 보안 정책과 인증 절차, 조달 기준 등에 따라 단계적으로 진행될 것으로 보인다.
전문가들은 이번 개편을 단순한 규제 완화가 아니라 ‘보안 운영 방식의 전환’으로 평가한다. 업계 관계자는 “차단 중심에서 관리·통제 중심으로 패러다임이 이동하고 있다”며 “시장 변화는 점진적으로 나타날 것”이라고 말했다.
김승주 고려대 정보보호대학원 교수는 “이제야 국가사이버보안기본지침에서 획일적 망 분리 정책과 공공기관의 AES 도입이 막 변화하기 시작했을 뿐”이라며 “여전히 개선해야 할 과제가 많다”고 지적했다.
