망분리에서 N2SF로: 공공 클라우드 도입을 다시 점검할 시점
🤖 AI Summary
공공부문의 클라우드와 AI 도입을 오래 가로막았던 것은 모든 정보에 똑같이 적용되던 망분리였습니다. 국가정보원이 주도하는 N2SF(국가 망 보안체계)는 이 획일적 방식을, 데이터 중요도에 따라 보안 수준을 달리하는 차등 보안체계로 바꿉니다. 정보는 기밀·민감·공개(C·S·O) 세 등급으로 나뉘고, 기밀은 강한 통제를 유지하되 공개와 일부 민감 정보는 클라우드와 AI를 업무에 활용할 길이 열립니다. 2025년 정식 가이드라인이 나왔고, 공공 클라우드 보안검증을 국가정보원 단일 체계로 일원화하는 제도가 2027년 7월 본격 시행될 예정입니다. 망분리가 사라지는 것이 아니라 적용 방식이 바뀌는 이 변화는, 공공기관뿐 아니라 공공과 거래하는 기업에게도 클라우드 도입 전략을 다시 점검할 신호입니다.
블로그 목차
망분리라는 벽이 바뀌고 있습니다
그동안 공공기관이 클라우드나 생성형 AI를 업무에 들이기 어려웠던 이유는 분명했습니다. 중요도와 무관하게 모든 정보망에 물리적 망분리를 똑같이 적용했기 때문입니다. 안전하지만 경직되어 있었고, 데이터를 모아 활용하는 흐름과는 정면으로 부딪혔습니다.
국가정보원이 주도하는 N2SF(국가 망 보안체계, National Network Security Framework)는 이 지점을 바꿉니다. 핵심은 간단합니다. 모두에게 같은 잠금장치를 채우는 대신, 정보의 중요도에 따라 보안 수준을 다르게 적용하는 것이죠. 오해는 먼저 정리하겠습니다. 이건 망분리를 없애는 것이 아니라, 획일적 적용을 등급별 차등 적용으로 전환하는 일입니다.
N2SF가 바꾸는 것: C·S·O 세 등급
N2SF는 기관의 데이터와 시스템을 기밀·민감·공개 세 등급으로 분류하는 데서 출발합니다.
분류가 끝나면 등급에 맞춰 보안대책을 세우고 적정성을 평가하는 절차로 이어집니다. 가이드라인은 권한, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 여러 보안 영역에 걸친 통제 항목을 담고 있으며, 정식판에서 통제 항목이 정비·확충되었습니다. 중요한 건 항목의 개수가 아니라 방향입니다. 기밀은 단단히 지키되, 공개와 일부 민감 정보는 활용을 허용하는 쪽으로 무게가 옮겨졌습니다.
어디까지 왔고, 언제 본격화하나
일정은 예정과 진행이 섞여 있어 정확히 구분하는 편이 좋습니다.
요점만 추리면 이렇습니다. 2025년 1월 초안, 9월 정식 가이드라인 1.0이 나왔고, 2026년에는 시범·실증 사업이 추진되고 있습니다(일부는 이미 선정·착수). 2026년 4월에는 공공 클라우드 보안검증을 국가정보원 단일 체계로 일원화하는 계획이 발표되었는데, 이 제도는 2027년 7월부터 본격 시행될 예정입니다. 다시 강조하면 2027년 7월은 시행 완료가 아니라 시행 예정 시점입니다.
공공 클라우드와 CSAP에 주는 의미
이 변화에서 기업이 가장 주목할 대목은 클라우드 보안검증의 재편입니다. 2026년 4월 발표된 계획에 따르면, 클라우드 보안인증(CSAP)의 상·중·하 등급제는 N2SF의 C·S·O 등급 체계에 맞춰 개편되고, 다수 보안요건은 ISMS로 통합되며, 검증은 국가정보원 단일 체계로 일원화될 예정입니다.
일부 매체는 이를 'CSAP 사실상 폐지'로 표현하지만, 정확히는 통합과 개편에 가깝습니다. 시행 전에 취득한 기존 CSAP 인증은 유효기간 동안 효력이 인정될 예정이라, 당장 자격이 사라지는 것은 아닙니다. 다만 앞으로 공공 클라우드를 공급하거나 도입하려면, 데이터 등급 분류와 새 검증 체계를 전제로 보안 구성을 다시 설계해야 합니다.
결국 N2SF는 공공기관에게 데이터 등급에 따라 클라우드와 AI를 쓸 수 있는 길을 열어주는 동시에, 공급 기업에게는 그 길에 맞춰 준비할 것을 요구합니다.
그래서 지금 무엇을 점검해야 하나
공공 클라우드 도입이나 공공 대상 서비스를 준비한다면, 다음을 먼저 점검하는 편이 좋습니다.
데이터 등급 분류: 우리가 다루는 데이터와 시스템이 기밀·민감·공개 중 어디에 해당하는지부터 정리합니다. 등급이 정해져야 어떤 워크로드를 클라우드로 옮길 수 있는지 보입니다.클라우드 적합성 판단: 공개와 일부 민감 영역을 중심으로, 어떤 업무를 퍼블릭 또는 민간 클라우드로 전환할지 후보를 추립니다.검증 변화 대비: CSAP 개편과 보안검증 일원화 일정을 감안해, 기존 인증 효력과 앞으로의 검증 요건을 함께 확인합니다.파트너와 함께 설계: 등급 분류부터 클라우드 아키텍처, 운영까지 한 번에 보려면 클라우드 경험이 있는 파트너와 점검하는 편이 시행착오를 줄입니다.
스피디는 NHN Cloud 플래티넘 파트너로서, 클라우드 도입을 검토하는 기관·기업의 데이터 등급 정리부터 워크로드 분류, 아키텍처 설계와 운영까지 함께 점검합니다. N2SF가 본격화되기 전인 지금이, 우리 데이터를 등급으로 나누고 클라우드 전환 로드맵을 미리 그려보기에 좋은 시점입니다.
이것만 기억하세요
N2SF(국가 망 보안체계)는 망분리를 폐지하는 것이 아니라, 획일적 적용을 데이터 등급 기반 차등 보안으로 전환합니다. 정보는 기밀(C)·민감(S)·공개(O) 세 등급으로 나뉘고, 기밀은 강한 통제를 유지하되 공개와 일부 민감 정보는 클라우드와 AI 활용의 길이 열립니다. 일정은 2025년 정식 가이드라인 1.0 발표가 완료됐고, 공공 클라우드 보안검증을 국가정보원 단일 체계로 일원화하는 제도가 2027년 7월 본격 시행 예정입니다(시행 완료가 아님). CSAP는 폐지가 아니라 ISMS 통합과 N2SF 등급 개편으로 재편될 예정이며, 기존 인증은 유효기간 동안 인정됩니다. 공공기관과 공급 기업 모두 데이터 등급 분류와 클라우드 전환 로드맵을 지금 점검할 시점입니다.
자주 묻는 질문 (FAQ)
Q. N2SF가 망분리를 폐지하는 건가요?
폐지가 아니라 전환이에요. 모든 정보에 똑같이 물리적 망분리를 적용하던 방식을, 데이터 중요도에 따라 보안 수준을 다르게 적용하는 체계로 바꾸는 겁니다. 기밀(C) 등급처럼 중요도가 높은 영역은 여전히 강한 통제와 격리를 유지하고, 공개(O)나 일부 민감(S) 정보는 클라우드·인터넷·AI를 업무에 활용할 길이 열려요. 망분리가 사라지는 게 아니라 획일적 적용이 등급별 차등 적용으로 바뀝니다.
Q. N2SF의 보안 등급은 어떻게 나뉘나요?
기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open) 세 등급이에요. 기밀은 안보·국방·외교·수사 등 기밀정보와 국민의 생명·안전에 직결된 정보, 민감은 공개되면 개인이나 국가의 이익을 침해할 우려가 있는 정보, 공개는 그 외의 정보입니다. 기관은 데이터와 시스템을 이 세 등급으로 분류한 뒤 등급에 맞는 보안대책을 적용해요.
Q. 언제부터 본격 시행되나요?
2025년 1월 초안, 9월 정식 가이드라인 1.0이 나왔어요. 2026년에는 시범·실증 사업이 추진되고 있고, 2026년 4월에는 공공 클라우드 보안검증을 국가정보원 단일 체계로 일원화하는 계획이 발표됐습니다. 이 일원화 제도는 2027년 7월부터 본격 시행될 예정이에요. 즉 2026년 6월 현재는 가이드라인 정비와 시범, 유예 준비 단계이며 아직 시행이 완료된 상태가 아닙니다.
Q. 기존 CSAP 인증은 어떻게 되나요?
2026년 4월 발표 계획에 따르면 CSAP의 상·중·하 등급제는 N2SF의 C·S·O 등급에 맞춰 개편되고, 다수 보안요건은 ISMS로 통합되며, 검증은 국가정보원 단일 체계로 일원화될 예정이에요. 일부 매체는 'CSAP 사실상 폐지'로 표현하지만 정확히는 통합·개편에 가깝습니다. 시행 전 취득한 기존 인증은 유효기간 동안 효력이 인정될 예정이에요.
Q. 공공기관이 아니어도 영향이 있나요?
있어요. 공공기관에 솔루션이나 클라우드를 공급하는 기업, 공공과 거래하는 SaaS·플랫폼 기업은 데이터 등급과 보안검증 변화에 맞춰 자사 보안 구성을 점검해야 합니다. 또 N2SF가 데이터 등급 기반 차등 보안이라는 방향을 제시한 만큼, 민간에서도 중요도 기준으로 클라우드와 온프레미스를 나누는 설계를 검토할 참고점이 돼요.
