[이데일리 최연두 기자] 내달 발표될 정부의 망 보안정책 개선안(망 정책 개선안)이 데이터 중요도를 C(기밀)·S(민감)·O(공개) 등 3등급으로 나누는 것으로 가닥이 잡혔다. 앞서 가능성이 제기됐던 데이터 4등급 체계 가능성은 사실이 아닌 것으로 확인됐다. 정보기술(IT) 업계는 불확실성이 걷히고 새로운 시장이 열릴 것이란 기대감이 커지고 있다.
| 보안 관련 이미지(사진=픽사베이) |
|
4일 국가정보원과 산학계에 따르면 망 정책 개선을 위한 정부 차원의 태스크포스(TF)는 데이터를 CSO 3개 등급으로 나누는 것에 중점을 두고 정책 방향성을 논의 중이다. 주무기관인 국정원은 지난 1월부터 산학계와 정부 및 연구기관 등 관련 전문가와 해당 TF를 구성해 운영해왔다.
이번 개선안의 핵심은 다중보안체계(MLS)에 있다. MLS는 획일적인 망 분리 규제에서 벗어나 데이터의 중요도에 따라 등급을 분류, 보안 강도를 달리 적용하는 것을 말한다. 그 근간에는 ‘아무도 신뢰하지 말고 항상 검증하라’는 의미의 제로트러스트 원칙이 있다. 조 바이든 미국 대통령이 제로트러스트 원칙에 입각해 연방 정부 보안을 강화해야 한다는 내용의 행정명령을 발표한 뒤 다시 부상했다.
국가와 국방, 공공·금융 등 기관에서는 그간 보안 강화를 이유로 시스템에 물리적 망 분리를 도입했다. 즉 외부 인터넷 망과 내부 망에 각각 PC를 따로 연결하고 업무를 진행해 온 것인데, 이는 업무 효율이 떨어지는 데다 인공지능(AI)과 클라우드 등 서비스를 도입하기 어려워 혁신 서비스에 걸림돌이 된다는 지적이 있었다.
우리나라에서도 지난해부터 국방혁신위원회가 추진 중인 ‘국방혁신 4.0’이 현행 망 분리 제도에서 벗어나 국방 AI 강군을 육성한다는 차원에서 마련됐다. 이후 혼선을 줄이기 위해 올 1월부터 국정원을 중심으로 범정부 차원에서 망 정책 개선안을 준비하고 있다. 개선안은 PC 한 대로 내부와 외부 업무가 모두 가능하도록 편의성을 높이는 것이 목표인데, 논리적 망 분리를 구현해주는 데스크톱 가상화(VDI)나 클라이언트 기반 컴퓨팅(CBC), 원격 브라우저 격리(RBI) 등 소프트웨어를 활용할 수 있도록 물리적 망분리 규제를 완화했다. 이 소프트웨어를 도입하면 하나의 PC 내 가상의 환경에서 다른 PC로 접속할 수 있다.
개선안이 골자를 드러내면서 IT솔루션 업계에선 공공 시장 활성화에 대한 기대감이 높아지고 있다. 논리적 망분리 솔루션 제공 업체는 국내에 한글과컴퓨터(030520)와 틸론, 소프트캠프(258790) 등이, 해외에는 VM웨어, 멘로시큐리티 등이 있다. 이 과정에서 망연계 보안 솔루션 업체인 한싹(430690) 등도 신규 고객 확대를 눈여겨 보고 있다.
한편 이번 개선안은 공공 클라우드 사업시 필수로 획득해야 하는 과학기술정보통신부의 클라우드 보안인증(CSAP) 인증 제도에도 변화를 불러올 전망이다. 국정원 관계자는 “보호할 가치가 있는 정보는 망 분리 등 보안을 더욱 더 강화하되 공유나 활용할 가치가 있는 정보는 과감히 공유해 AI 등 신기술 개발 및 활용을 활성화하자는 취지”라며 “순차적으로 CSAP 등 보안정책도 바뀔 가능성이 크다”고 말했다. 김승주 고려대 정보보호대학원 교수도 “CSAP 클라우드 인증은 기본적으로 국정원이 관여돼 있고 망분리 관련 내용도 포함돼 있다. 개선안이 확정되면 CSAP도 개선하는 절차를 밟을 것으로 보인다”고 내다봤다.
이에 따라 클라우드 업계는 CSAP 재인증 여부에 촉각을 곤두세우고 있다. 업계 관계자는 “이미 CSAP 인증을 받았거나 준비 중인 기업들은 관련 제도를 다시 들여다봐야 할 것 같다”고 불안감을 나타냈다.