brunch

매거진 Tech
라이킷 12 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by 서교동방울이 Sep 14. 2024

PC 두 대 쓰는 사람들...'망분리' 시대가 저문다

국정원 MLS가 주는 시사점


인터넷이 연결되지 않은 PC. 전원을 켜도 그냥 워드나 내부 업무시스템만 쓸 수 있고 웹서핑은 불가능하다. 한 마디로 바깥 세상과 단절된 PC다. 그럴 거면 왜 쓰나 싶지만 우리나라 공공기관은 그 불편한 일을 20년 가까이 해왔다. 오프라인 상태의 내부망 PC와 외부로 인터넷이 연결된 PC를 각각 쓰면서 해킹에 대비했다. 


해도 너무했다는 의견이 나올 수밖에 없다. 안전과 효율의 논리가 부딪쳤고 커지는 갑론을박에 대통령까지 나섰다. 국가 IT 시스템 패러다임을 바꾸는 대수술. 결국 공공기관 망분리 정책은 역사의 뒤안길로 사라지게 됐다.  


국가 공공기관의 망분리 정책의 새 패러다임 '다층보안체계(MLS)'의 청사진이 나왔다. 그동안 획일적으로 적용했던 방식 대신에 데이터를 중요도에 따라 나누고, 보안 정책을 각각 달리하기로 했다. 상대적으로 중요도가 낮은 시스템은 망분리 규제를 완화하겠다는 건데 클라우드와 인공지능(AI) 기술을 이제(서야!) 공공기관에서도 쓸 수 있을 전망이다.


국가정보원은 최근 국제 사이버안보 행사 ‘CSK 2024’에서 MLS의 밑그림을 공개했다. 2006년부터 시행한 정부·공공 망분리 정책이 사실상 폐기 처분된다. 


시작은 윤석열 대통령의 언급이었다. 지난해 윤 대통령이 개선을 지시한 이후 국정원 주도하에 국가안보실·디지털플랫폼정부위원회·금융위원회·개인정보보호위원회가 모여 개선 방안을 내놨다. 


대통령도 황당해 한 망분리 정책이 시작된 건 보안 우려 때문이었다. 디도스가 기승을 부리면서 2006년 정부부처가 '물리적 망분리'를 도입한 게 시초다. PC 같은 하드웨어를 업무용과 외부 인터넷용으로 분리해 2대의 PC를 번갈아 쓰는 구조였다. 


사이버공격 루트인 인터넷을 막아놓으니 보안성은 높아졌지만 부작용이 만만치 않았다. 하드웨어 비용이 두 배가 들었고 PC를 옮겨가며 일하는 건 무척 불편한 일이었다. 챗GPT는 언감생심이요 서비스형소프트웨어(SaaS) 같은 클라우드 기반 솔루션도 쓰기 어려웠다. 


국정원은 약 1년간의 논의 끝에 이번 안을 내놨다. 데이터를 중요도에 따라 3단계로 나누는 게 골자다. 업무중요도에 따라 공공 업무정보를 기밀(C·Classified)·민감(S·Sensitive)·공개(O·Open) 등급으로 분류하고 등급별로 보안통제를 달리한다.


비밀 안보·국방·외교· 수사 관련 기밀정보이거나 국민생활·생명·안전과 직결된 정보는 가장 중요한 C 등급에 넣어야 한다. 개인·국가 이익침해가 가능한 비공개 정보는 S 등급으로 지정해야 한다. O는 원칙적으로 C와 S를 제외한 모든 정보와 함께 가명처리 등을 거친 행정·민감정보다. 


정보등급은 각 정부·공공기관이 법령에 따라 직접 분류하도록 했다. 가장 편하게 풀려면 O 등급으로 나누는 게 좋지만, 분류 기준에 대한 법령이 있기 때문에 그럴 요령?을 부릴 가능성은 크지 않다. 더 걱정되는 건 이제까지 쌓은 데이터를 모두 풀어봐야 하는 점이다. 내가 시스템 어디에 어떤 데이터를 갖고 있고, 이게 어떤 기준에 부합하는지 일일이 뜯어봐야 한다. 


국정원은 정책 추진과제로 8가지를 제시했다. 공공데이터의 AI융합을 비롯해 ▲인터넷 단말의 업무 효율성 제고 ▲업무환경에서의 생성AI 활용 ▲외부 클라우드 활용 ▲업무 단말의 인터넷 이용 ▲연구 목적 단말의 신기술 활용 ▲개발 환경 편의성 향상 ▲클라우드 기반 통합 문서체계 등이다. 


IT 업계에도 큰 영향을 미치는 변화다. 공공기관 내부 인력만으로는 모든 데이터를 잘 쳐내기 어려울 테다. 데이터 애널리스트의 별정직 근무가 늘어날 수도 있는 지점이다. 


클라우드 업계는 어떤가. 이제까지 상·중·하 등급으로 분류했던 공공 클라우드 체제에서 외국계 클라우드 업체는 논리적 망분리를 허용하는 하 등급 참여만 가능했다.  MLS에서는 O등급 참여 가능성이 열린 건 당연하고, S 등급까지 열릴 거란 전망이 있다. 클라우드 적용 기준은 내년 상반기쯤 확정된다.


일단 2025년 시행하는 게 목표다. 현황 파악과 분석을 위한 준비 과정으로 시작해 ▲데이터 중요도에 따른 C·S·O 등급 분류 ▲정보 서비스 구성 환경 모델링 ▲보안 통제 방안을 선정하는 대책 수립 ▲등급 분류와 보안통제의 적절성 평가·재조정 단계까지 총 5단계를 거쳐 본격 시행한다. 각 등급의 보안통제 방식과 기관별 적용시점, 예산 배분 같은 디테일은 TF 운영을 거쳐 확정한다. 


국정원은 이번 변화를 '고속도로'에 비유했다. 국가 산업의 대동맥인 경부고속도로와 같이 공공데이터가 더욱 개방되고 쉽게 활용되는 디지털 고속도로를 만들겠다는 전언이다. 


일단 취지는 모두가 공감하고 있어 명분은 좋다. 문제는 디테일이다. TF 운영 과정에서 분명 잡음이 나오고 (늘 그렇듯이) 시행 시기가 밀릴 가능성도 있다. 18년 만의 대대적인 변화. 꽉 막힌 명절 고속도로가 될지 쌩쌩 달리는 아우토반이 될지 벌써 궁금해진다.


keyword
서교동방울이 소속 직업 기자

IT와 함께하는 급여 생활자. 세상을 담는 글의 무게와 늘 씨름하는 중.
구독자 18
매거진의 이전글 '외산 SW 천하' 언제까지?
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari