시스템 중심에서 데이터 중심으로
“업무정보 하나하나를 C/S/O로 분류하고 차등 통제하라?”
N2SF 보안가이드라인은 18년간 작동해온 망분리 체계의 설계 철학을 전면 재검토하라는 요구하고있습니다.
기존 방식은 단순했습니다. 인사 DB 서버는 인사팀만, 재정 파일서버는 재정팀만 접근하는 경계 기반 통제였습니다.
그런데 사실, 이미 알고있듯이 단일 DB 안에도 공개 데이터(O), 민감정보(S), 국가기밀(C)이 혼재하고, 파일서버 한 디렉터리에도 보도자료와 기밀계약서가 공존합니다. 하지만 우리는 “서버 전체 = S등급”으로 일괄 처리해 왔을 뿐이죠. 위험이 있다는 것을 알고 있으면서도 그렇게 할 수 있었던 것은 “‘망분리’라는 결계가 지켜줄 것이다.”와 “내부자는 안전할 것이다.”라는 기때 때문이었죠.
그렇지만 이제는 생성형AI라는 우리의 필요에 의해 이 결계를 느슨하게 해야하고, 그동안의 경험상 의도했던, 의도하지 않았던 ‘내부자에 의한 보안사고’가 계속 발생하면서 ‘내부자는 안전하다’라는 가정도 깨져버렸습니다.
그래서 이제 기존의 시스템 단위의 거친 통제에서 세밀한 통제로 가는 것은 어쩌면 선택이 아닌 것이 되어버렸습니다.
by (주)씨에스리 전혜경부대표(정보관리기술사/컴퓨터시스템응용기술사, hgchon@cslee.co.kr)
기존의 거친 통제 vs. 세밀한 통제
기존 접근통제 모델의 문제를 정리하면 다음과 같습니다.
| 구분 | 기존 통제 단위 | 실제 데이터 구조 | 결과(발생 문제) |
| 데이터베이스 | 서버 인스턴스 | 테이블/컬럼/로우별 등급 상이 | 권한 과다 할당 |
| 파일서버 | 디렉터리 | 파일별 민감도 분산 | Fine-grained 통제 불가 |
| 이메일 | 메일박스 | 메시지별 중요도 차이 | 등급 정보 부재 |
거친 통제(Coarse-grained Control)은 관리 비용을 낮추지만, 정밀도를 희생합니다. N2SF가 요구하는 것은 정보 중요도 기반의 세밀한 통제(Fine-grained Control)입니다. 동일 스키마 내 컬럼 단위로, 동일 디렉터리 내 파일 단위로 차등화된 접근 정책이 필요하다는 의미입니다.
N2SF의 본질 : RBAC에서 ABAC으로
N2SF는 완전히 새로운 보안 기술이 아닙니다. 핵심은 ABAC(속성 기반 접근통제)를 모든 공공기관의 표준으로 만드는 것입니다.
기존 방식: RBAC의 한계
대부분의 공공기관은 RBAC(역할 기반 접근통제)를 사용합니다.
IF (사용자 = 인사팀 직원) THEN 인사 DB 접근 허용
간단하고 관리하기 쉽습니다. 하지만 한계가 명확합니다. 인사팀 직원이라도 모든 직원의 급여를 볼 필요는 없습니다. 재택근무 중인 직원이 외부 네트워크에서 접근하는 것과 사무실에서 접근하는 것을 동일하게 취급합니다.
N2SF 방식: ABAC의 작동 원리
ABAC은 여러 속성을 조합해서 동적으로 접근을 결정합니다.
IF (사용자 = 인사팀 직원) AND (권한 등급 = S등급 이상) AND (네트워크 = 내부망 또는 인증된 VPN) AND (시간 = 근무시간) AND (기기 = 승인된 단말) THEN 급여 데이터 접근 허용
속성 조합의 예시:
| 속성 유형 | 세부 속성 | 예시 값 |
| 사용자 | 부서, 직급, 보안등급 | 인사팀, 과장, S등급 권한 |
| 데이터 | 기밀등급, 민감도 | C/S/O |
| 환경 | 네트워크, 시간, 위치 | 내부망, 09-18시, 서울 본청 |
| 기기 | 단말 유형, 보안 상태 | 업무PC, 백신 최신 |
왜 이제 ABAC이 필수인가?
생성형 AI가 들어오면서 상황이 복잡해졌습니다.
시나리오: 직원이 ChatGPT에 “우리 기관 예산 현황을 요약해줘”라고 프롬프트를 입력하려 합니다.
RBAC으로는 판단할 수 없습니다:
- 이 직원이 예산 데이터에 접근 권한이 있는가? (역할만 봄)
ABAC으로 판단해야 합니다:
- 예산 데이터의 등급은? (S등급)
- 이 직원의 보안 등급은? (S등급 권한 있음)
- 어떤 AI를 사용하려는가? (상용 ChatGPT)
- 상용 AI 사용이 허용되는가? (S등급은 Private AI만 가능)
- 결론: 차단하고 Private AI로 유도
N2SF의 혁신은 “예외적 고급 기술”이었던 ABAC을 “모든 기관의 기본 방식”으로 전환한 것입니다. 18년간 물리적 망분리로 해결하던 것을 논리적 통제로 바꿀 수밖에 없던 것이죠.
보안팀만으로는 불가능하다.
이쯤에서 당연히 “정보보안팀 이걸 다 할 수 있다고?”라는 생각이 드셨을 겁니다.
당연히 정보보안팀 단독으로는 실행할 수 없습니다. 현장에서 관찰되는 전형적 대화 패턴입니다.
보안팀: “업무정보별 C/S/O 분류가 필요합니다.”
사업부서: “그건 보안 업무 아닌가요?”
보안팀: “업무 맥락 없이 등급을 어떻게 판단합니까?”
데이터팀: “우리는 데이터 품질관리만…”
해결책은 부서 간 협업입니다.
사업부서가 도메인 지식을 바탕으로 등급을 판단하고(데이터 오너),
품질담당자가 메타데이터 무결성을 검증하고,
보안팀이 정책 프레임워크를 수립하고, 데이터팀이 기술 스택을 구현하는 거버넌스 체계입니다.
N2SF가 요구하는 데이터관리체계의 본질
N2SF는 단순히 망분리를 개선하는 기술 정책이 아닙니다. 전사 데이터관리체계의 근본적 재설계를 요구합니다.
데이터관리체계는 일반적으로 아래 6개 영역으로 구성한다고 볼 수 있는데, 제가 봤을때 N2SF로 인해 영향도를 평가해보면 다음과 같습니다.
그런데, 그동안 보안/접근통제는 보안팀에서 정책을 주면 시스템관리쪽에서 구현하고, 데이터쪽은 어떻게 되고있다만 알면 되었기때문에 일반적으로 보안/접근통제는 데이터관리체계에서 빠져있었습니다.
| 영역 | 정의 | N2SF 영향도 |
| 거버넌스 | 조직, 역할, 정책 프레임워크 | 높음 |
| 메타데이터 | 데이터에 대한 데이터 | 높음 |
| 보안/접근통제* | 등급 기반 차등 통제 | 높음 |
| 아키텍처 | 구조, 플로우, 통합 | 중간 |
| 품질 | 정확성, 완전성, 일관성 | 중간 |
| 생명주기 | 생성-활용-보존-폐기 | 낮음 |
그런데, 이제 정보단위의 등급기반의 보안/접근통제가 이루어져야 하는 상황에서는 데이터관리체계에 보안/접근통제 영역이 들어올 수 밖에 없습니다.
결국, N2SF는 거버넌스, 메타데이터, 보안·접근통제 3개 영역에 구조적 변화를 요구합니다. 형식적이었던 거버넌스를 실질화하고, 선택적이었던 메타데이터 관리를 필수화하며, 시스템 경계 통제를 데이터 단위 통제로 전환이 필요한 것이죠.
데이터관리체계, 5가지 구조적 변화
1. 관리 대상의 확장
- 기존: DB, 파일서버 등 정형 데이터
- N2SF 시대: 프롬프트 이력, AI 생성물, AI 학습 데이터
생성형 AI가 조직에 들어오면 새로운 형태의 데이터가 발생합니다. 직원이 ChatGPT에 입력한 프롬프트도 데이터입니다(민감정보 유출 가능성). AI가 생성한 보고서도 데이터 자산입니다(출처 추적 필요). 이 모든 것에 C/S/O 분류와 생명주기 관리가 필요합니다.
2. 메타데이터의 필수화
업무정보에 등급을 할당하려면 메타데이터를 체계적으로 관리해야 합니다. 공공데이터 관리지침은 38개 메타데이터 관리항목을 정의합니다. N2SF 맥락에서 최소 필수 항목은 다음과 같습니다.
| [N2SF 필수 메타데이터] – 등급: C/S/O – 분류 근거: 왜 이 등급인가? – 분류자: 누가 판단했는가? – 분류일: 언제 분류했는가? – 재분류 예정일: 언제 다시 검토하는가? – AI 사용 정책: 어떤 AI 서비스 사용 가능한가? |
결국 이러한 것을 가능하게 하기 위해서는 데이터 카탈로그가 필수인데, 기존의 메타데이터 관리보다 좀더 포괄적인 개념의 메타데이터관리라고 할 수 있습니다.
이러한 데이터 카탈로그는 조직 전체 데이터 자산의 인벤토리를 제공하며, “모든 데이터 자산의 위치, 구조, 등급”을 매핑하는 메타데이터 저장소라고 보시면 됩니다. 따라서 각 정보단위의 관리를 위해서는 이러한 데이터 카탈로그 관리 인프라가 없다면 N2SF 이행은 불가능하겠죠.
3. 조직 역할의 재정의
2021년 데이터기반행정법으로 모든 공공기관은 CDO(Chief Data Officer)를 지정했는데요. N2SF 가 적용되면서, 이 역할은 이제 책임과 권한이 더 커져야 하고 내용면에서도 실질적으로 작동해야 합니다.
| 역할 | 기존 책임 | N2SF 시대 확장 책임 |
| CDO (최고데이터책임자) | 데이터 전략 수립 | AI-데이터 통합 전략, N2SF 이행 총괄 |
| 데이터 오너 (부서장) | 부서 데이터 관리 | 소관 업무정보 C/S/O 분류 승인 |
| 품질담당자 | 데이터 품질 검증 | 메타데이터 품질, AI 환각 검증 |
| 데이터 아키텍트 | 시스템 설계 | 등급 기반 접근통제 설계 |
그리고, 기존 데이터 품질담당자의 역할 확장이 필요합니다.
기존의 데이터 품질담당자의 업무는 데이터 정확성만 검증하면 되었는데, 이제는 등급 분류의 적정성, AI 생성물의 환각(Hallucination) 여부까지 검증 범위에 포함되어야 합니다.
4. 프로세스의 내재화
등급 분류가 일회성으로 진행된다고 생각할 수 있는데 데이터는 계속 변화하고, 업무도 변화하기 때문에 이 등급분류는 지속적으로 모니터링하고 관리해야 합니다.
필수 프로세스:
- 데이터 생성 시점 등급 할당 프로세스
- 연 1회 이상 재분류 검토 사이클
- 등급 변경 시 승인 워크플로우
- Quality Steward의 메타데이터 검증 프로세스
예시: 신규 보고서를 작성하면 저장 전 “C/S/O 중 어느 등급인가?” 질문하고 답하는 과정이 시스템에 임베딩되어야 합니다. 당연히 현장에서는 초기 저항은 있겠지만, 이러한 프로세스가 내재화되면 자연스러운 절차로 이행될 것입니다.
5. 전사 역량강화를 위한 교육 시행
N2SF는 보안팀이나 데이터팀만의 이슈가 아닙니다. 전 직원이 데이터 등급을 이해하고 판단할 수 있어야 합니다. 이제는 전 직원이 보안을 이해해야하고 데이터를 이해해야 하는것이죠. 초기의 데이터품질관리에 대해 집중적으로 교육을 했듯이 이제는 변화하는 데이터 보안관리에 대해서도 교육이 필요합니다.
필수 교육 내용:
- N2SF 기본 개념(C/S/O 분류 기준)
- 조직의 데이터 분류 기준
- 메타데이터 입력 방법
- AI 사용 시 데이터 처리 원칙
또한 각 부서에는 데이터 담당자를 지정하고, 이 데이터 담당자들에게는 심화 교육이 필요합니다. 이들이 부서 내 실질적 등급 분류를 수행하고, 일반 직원을 지원하는 역할을 하기 때문입니다.
그럼 어디서부터 시작해야하는가? 무엇을 해야 하는가?
많은 기관이 “그럼 어떻게 해야지?”라는 생각과 함께, “타기관이 어떻게 하는지 지켜보고 나중에 하자”라고 생각하실겁니다.
그것도 물론 방법이 될 수 있겠습니다. 현재 N2SF 가이드라인이 발표된지 얼마 되지 않았고, 구체적으로 현장에 어떻게 적용해야할지 시범 적용을 해보면서 최적의 방법을 찾아야 할테니까요.
그렇다고 해서 손 놓고 있다가는 “생성형AI는 도입/활용해야 하는데, 보안은 어떡하지?”라고 하며, 불안에 떨며 이러지도 저러지도 못하는 상황이 계속 될 뿐입니다.
제 생각에 일단은 기관에서는 다음과 같은 작업을 미리 진행하시기를 권고드립니다.
1단계: 현황진단
시스템 구축 전에 현재 데이터관리 성숙도를 진단해야 합니다.
진단 영역:
- 조직: CDO의 실질적 권한과 의사결정 구조
- 정책: 데이터 분류 기준의 문서화 수준
- 프로세스: 데이터 생성-폐기 관리 절차 존재 여부
- 기술: 현재 시스템의 등급 기반 접근통제 지원 가능성
- 데이터: 전사 데이터 목록의 최신성
“CDO가 있다”는 사실만으로는 불충분합니다. 겸직인가 전담인가? 예산 집행권이 있는가? 부서장에게 등급 분류를 지시할 권한이 있는가? 형식적 조직으로는 N2SF를 이행할 수 없습니다.
2단계: 맞춤형 로드맵 설계
진단 결과를 바탕으로 조직 특성에 맞는 전략을 설계합니다.
핵심 질문:
- AI 도입 목표 시점은?(역산의 기준점)
- 전사 시스템 수와 핵심 데이터 위치는?
- 내부 역량으로 이행 가능한가, 외부 지원이 필요한가?
- 3개년 투입 가능한 예산과 인력은?
로드맵 예시:
- 1년차: 핵심 부서 1~2개 파일럿, 정책 프레임워크 수립
- 2년차: 전사 확산, 데이터 카탈로그 구축, 거버넌스 위원회 정례화
- 3년차: AI 플랫폼 연동, 자동화, 성숙도 평가
중요한 것은 “AI를 언제까지 도입해야 하는가”입니다. 거기서 역산해나가는 것이 좀더 현실적입니다.
지금 ISP를 진행했고, 2026년 말 AI 도입이 목표라면, 지금 파일럿을 시작해야 합니다.
(혹시 기준에 ISP를 했는데, ISP 계획에 사전 준비 작업인 “N2SF를 반영한 데이터관리체계 변화 과제”가 누락되어있다면 지금이라도 추가하셔야 하고, 더 나아가서는 차기 지능정보화 기본계획에도 반드시 반영하셔야 합니다.)
3단계: 파일럿 실행
전사 데이터를 일시에 분류한다는 것은 현실적으로 불가능합니다. 따라서 이렇게 계획을 세우는 순간 실패할 가능성이 높습니다. 따라서 초기에 반드시 파일럿을 실행하시고 여기에서 우리기관에 가장 적합한 현실적인 방법을 찾으셔야 합니다.
저의 다년간의 경험상 이런 류의 파일럿을 진행할 때 가장 중요한 것은 해당 업무부서의 참여 적극성입니다. 그래야 제대로 성과가 나올 수 있습니다. 그래서 이것을 해야만하는 동기가 명확한 부서를 선정하시는 것을 권고드립니다.
파일럿 부서 선정 기준:
- 데이터 규모: 전사의 5~10% (관리 가능한 범위)
- 조직 의지: 부서장 협조적, 실무자 적극적
- 전략적 가치: AI 도입 계획이 있는 부서 (동기 명확)
- 가시성: 성공 시 임팩트가 큰 부서 (전파 효과)
파일럿 산출물:
- 조직 맞춤형 데이터 분류 기준서
- 부서별 역할 분담 정의
- 실무 이슈와 해결 방안
- 성공 사례 (타 부서 설득용)
파일럿 기간: 3~6개월. 너무 길면 동력 상실, 너무 짧으면 학습 불충분. 파일럿에서 빠른 성과를 만들면 조직 저항이 감소합니다.
변화의 본질: 패러다임 전환
제가 긴 설명을 드리지 않고, 가이드라인을 대략적으로 보시기만 해도 N2SF는 단순한 보안 정책이 아니다라는 것을 대번에 파악하실 수 있을겁니다.
기관에서 N2SF를 적용한다는것은 곧 데이터관리 패러다임의 구조적 전환을 의미합니다
| 보안 관리 차원 | 기존 | 향후 (생성형AI 시대, N2SF시대) |
| 통제 단위 | 시스템, 서버 | 업무정보 |
| 책임 주체 | 보안팀, IT팀 | 부서간 협업 |
| 통제 방식 | Coarse-grained Control (RBAC기반 거친 통제) | Fine-grained Control (ABAC기반 세밀한 통제) |
| 메타데이터 | 품질관리 관점에서만 | 품질관리 + 보안관리 |
이 패러다임을 이해하지 못하면 AI 플랫폼을 도입해도 보안의 제약때문에 계속 불안에 떨거나, 제대로 사용하지 못할 가능성이 큽니다. 반대로 데이터관리체계를 선제적으로 정비하면, 보안과 혁신을 동시에 달성할 수 있습니다.
그렇다고 데이터 보안을 완벽하게 해서 해야지. 라고 생성형AI 도입을 뒤로 미룰 필요는 없습니다.
일단은 현재 가능한 부분 작은 부서 하나, 중요 데이터셋 몇 개부터 시작해보는 것이 중요합니다. 그래야 그 경험이 누적되어서 우리 기관에 맞는 최적의 방법으로 적용해나갈 수 있습니다.
참고문헌
- 국가정보원, 「국가 망 보안체계(N²SF) 보안 가이드라인 1.0」, 2025.9.30
- 과학기술정보통신부·한국인터넷진흥원, 「제로트러스트 가이드라인 2.0」, 2024.12
- 행정안전부, 「공공데이터 관리지침」
- 데이터기반행정 활성화에 관한 법률 (약칭: 데이터기반행정법), 2021
비고: 본 문서의 메타데이터 스키마, 조직 역할 정의, 단계별 이행 프레임워크는 N2SF 가이드라인 및 데이터 거버넌스 표준, 필자의 현장 컨설팅 경험을 기반으로 한 필자의 실무 권장사항입니다.