공공기관 '망 분리' 풀린다…AI 전환속도 올린다

사이버 서밋 코리아 2024

다층보안체계(MLS) 적용절차/그래픽=김지영

공공기관 업무시스템의 인터넷 연결을 일괄 봉쇄한 '망분리 규제'가 2025년부터 시범적으로 완화된다. 정부는 기관별 업무시스템마다 보안대책을 차등화하는 방식으로 일선의 AI(인공지능)·클라우드 활용을 유도할 방침이다.

국가정보원은 11일 열린 국제 사이버안보 행사 '사이버서밋코리아(CSK) 2024'에서 '다층보안체계(MLS·Multi Level Security) 전환 로드맵안'을 공개했다.

MLS는 각 기관이 운영하는 업무시스템을 C(Classified·기밀) S(Sensitive·민감) O(Open·공개)등급으로 분류한다. C등급은 외교·국방·수사 등 분야의 정보, S등급은 개인정보·영업비밀 등을 처리하는 시스템에 적용된다.

등급에 따른 보안대책을 갖출 경우 업무시스템을 인터넷망에 연결, 외부 AI·클라우드·SaaS(서비스형 소프트웨어)·정보공유 등 서비스를 이용할 수 있도록 허용하겠다는 계획이다. 등급별 보안대책 요구사항이 담긴 국가정보보안지침·보안가이드라인은 연말까지 제·개정하기로 했다.

MLS 도입을 계기로 우선 추진할 과제는 △공공데이터의 외부 AI 융합 △기관별 인터넷 단말의 소프트웨어(SW) 활용폭을 넓히는 업무효율성 향상 △업무용 단말에서의 챗GPT 등 생성형 AI 활용 △외부 클라우드를 활용한 업무협업이다.

국정원은 또 △업무단말의 인터넷 활용 △연구 목적 단말의 국내외 신기술 활용 △개발 목적 단말의 인터넷 접속을 통한 오픈소스 활용 등 편의성 향상 △단말 유형 관계없이 업무자료를 생산·공유하는 클라우드 기반 통합문서체계 도입도 과제로 선정했다.

국정원 관계자는 "2025년 상반기 디지털플랫폼정부위원회(디플정위) 주관으로 8개 추진과제 모델을 일부 국가·공공기관에 시범적용하고 보안통제의 안전성 등을 검증할 것"이라고 말했다.


업무시스템을 C·S·O 등급으로 분류할 주체는 각 공공기관이다. 국정원은 등급분류와 보안대책의 적절성을 사후평가한다. 일선 기관들이 방어적 태도로 높은 등급을 선택할 것이라는 우려에 대해 신용석 국가안보실 사이버안보비서관은 "높은 등급의 업무시스템은 할 일(보안대책)이 많아진다"며 "실무현장에서 일부러 등급을 높일 일은 없을 것"이라고 말했다.

2006년 시행된 망분리 규제는 공공기관의 업무시스템과 외부 인터넷망을 물리적으로 분리하고 인터넷 사용이 필요한 경우 별도의 PC·서버를 마련해 작업하라는 규정이 핵심이다. 이같은 규제가 데이터 공유와 신기술 활용을 막는다는 지적이 잇따르자 윤석열 대통령은 지난해 12월 개선을 지시했다.



한편 국정원은 이날 국제암호표준 AES(Advanced Encryption Standard)에 따른 암호모듈도 공공기관 납품을 허용하는 내용을 골자로 한 '암호모듈검증제도'(KCMVP) 개정안도 공개했다. 시행시점은 2026년 1월이다.

국내에선 KCMVP가 시행된 2005년 이래 국내암호표준인 시드(SEED) 아리아(ARIA) 하이드(HIGHT) 리아(LEA)에 따른 암호모듈만 공공납품이 허용됐다. 외국 암호가 해독될 수 있다는 우려로 인한 조처였지만 국내 산업계의 고립을 유발한다는 지적이 잇따랐다. 국정원 관계자는 "글로벌 스탠더드에 맞춰 암호정책이 필요하다는 요구가 많아 산학연 논의 끝에 허용할 시점이 됐다는 결론을 내렸다"고 밝혔다.

다층보안체계(MLS) 8대 추진과제/그래픽=이지혜