5월 1일 전면 시행된 '국가 사이버보안 기본지침'

공공기관 IT 보안의 오랜 기준이었던 획일적 망분리 방식이 큰 전환점을 맞았습니다. 국가정보원은 2026년 5월 1일 「국가 사이버보안 기본지침」을 개정·시행하며, 공공 보안의 방향을 기존의 경계 중심 차단에서 데이터 중요도 기반 통제로 전환했습니다.

이번 개정의 핵심은 “망분리가 완전히 사라진다”는 것이 아닙니다. 더 정확히는 모든 업무와 시스템에 같은 보안 기준을 적용하던 방식에서 벗어나, 데이터 등급과 위험도에 따라 보안통제를 차등 적용하는 체계로 바뀌었다는 점입니다.

국정원 국가 사이버보안 기본지침

1. N2SF 도입: 데이터 등급 기반 보안체계로 전환

이번 지침의 가장 큰 변화는 국가 망 보안체계, N2SF 도입입니다.
공공기관의 업무정보는 중요도에 따라 다음 세 가지 등급으로 구분됩니다.

기밀등급(Classified)은 비밀, 대외비, 국가안보·국방·외교 등과 관련된 핵심 정보를 의미합니다.
민감등급(Sensitive)은 개인정보, 내부 검토자료, 감사·계약·의사결정 관련 비공개 정보처럼 유출 시 문제가 될 수 있는 정보입니다.
공개등급(Open)은 공공데이터, 보도자료 등 외부 공개가 가능한 정보입니다.

앞으로 공공기관은 업무정보의 등급에 따라 시스템과 도메인을 구분하고, 필요한 보안통제를 적용해야 합니다. 이는 단순한 망분리 폐지가 아니라 일괄 망분리에서 등급·위험 기반 보안체계로 전환하는 변화입니다.

2. 보안 예산 15%, 인력 10% 기준 명확화

이번 개정에서는 사이버보안 인력과 예산 기준도 명확해졌습니다.

각 기관은 정보화업무 담당인력 대비 10% 이상의 사이버보안 인력을 운영하고, 정보화 예산 대비 15% 이상을 사이버보안 예산으로 운영해야 합니다.

이는 공공기관이 보안 조직과 예산을 확보할 수 있는 실질적인 근거가 됩니다. 보안 솔루션, 보안관제, 취약점 진단, 클라우드 보안, 인증·접근통제 분야에도 영향을 줄 것으로 보입니다.

3. MFA, 통합인증, 플러그인 최소화

원격근무자와 정보시스템 관리자에 대한 인증도 강화됩니다. 원격근무 환경에서는 서로 다른 인증수단을 조합한 다중인증, MFA 적용이 중요해졌고, 관리자 권한 인증에도 다중인증 적용이 요구됩니다.

또한 공공 웹사이트에서 이용자 단말에 플러그인 설치를 강제하거나 유도하는 방식은 최소화하도록 했습니다. 액티브X류 보안 프로그램처럼 사용자 불편과 보안 취약점을 동시에 유발하던 방식에서 벗어나겠다는 의미입니다.

통합인증체계의 근거도 마련되면서, 공공기관의 인증 환경은 개별 시스템별 로그인 방식에서 SSO·연합인증 기반 구조로 점차 이동할 가능성이 큽니다.

4. 민간 사업자의 보안 협조 의무 확대

공공기관에 IT 서비스를 제공하는 민간 사업자의 책임도 커졌습니다.

정보화사업 용역업체, 시스템 공급업체, 보안시스템 공급업체, 클라우드 서비스 제공자 등은 국가정보원장의 자료 제출, 사실 확인, 보안 협조 요청에 정당한 사유가 없는 한 따라야 합니다.

특히 침해사고 발생 시 로그, 피해 자료, 악성코드 등 사고 원인 규명에 필요한 자료를 보전해야 하며, 임의 삭제나 포맷은 큰 리스크가 될 수 있습니다. 공공사업을 수행하는 기업이라면 계약, 운영, 사고 대응 프로세스를 다시 점검해야 합니다.

---

결론: 공공 보안의 중심이 ‘망’에서 ‘데이터’로 이동한다

이번 개정은 단순히 망분리 규제를 완화한 것이 아닙니다. 공공 보안의 기준이 망을 나누는 방식에서 데이터의 중요도와 접근권한을 통제하는 방식으로 이동하고 있다는 신호입니다.

앞으로 공공기관은 업무정보 등급 분류, 시스템 등급 정비, 인증체계 고도화, 로그 보전, 클라우드·AI 보안 기준 대응을 함께 준비해야 합니다.

공공시장에 진입하려는 IT·보안 기업 역시 자사 솔루션이 N2SF, C/S/O 데이터 등급체계, 다중인증, 통합인증, 로그 보전, 사고 대응 협조 요건을 어떻게 충족하는지 명확히 제시해야 합니다.

이번 변화의 본질은 “망분리의 종말”이 아니라, 획일적 망분리에서 데이터 중심의 선별적 보안통제로 전환한다는 데 있습니다.