SBS Biz

[IT 보안사고 (PG) (사진=연합뉴스)]

국가정보원이 인공지능(AI)과 클라우드 등 급변하는 정보기술(IT) 환경을 반영해 전면 개편한 '국가 사이버 보안 기본 지침'을 오는 5월부터 본격 시행합니다.



공공 보안의 원칙이었던 획일적 망 분리 규제를 대신해 데이터 중요도에 따라 보안 수준을 차등화하는 국가 망 보안 체계(N2SF)가 명문화되는 것이 핵심입니다.

국정원 사이버 정책 담당관은 17일 서울 강남구 코엑스에서 열린 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)에서 이 같은 내용의 지침 개정 계획을 발표하고 개정안 초안을 공개했습니다.

국정원은 이미 초안을 각급 기관에 공문으로 보내 의견을 수렴 중이며, 이르면 5월 초부터 이를 시행할 예정이라고 밝혔습니다.

이번 개정은 2023년 1월 이후 3년 만에 이뤄지는 대대적인 정비로, 국정원은 기존 '국가 정보보안 기본 지침'이라는 명칭을 '국가 사이버보안 기본 지침'으로 변경합니다.



개정안의 핵심은 N2SF의 제도적 근거 마련인데, 국정원은 기존 지침의 망 분리 조항을 삭제하고, 정보를 기밀(C)과 민감(S), 공개(O) 등 등급별로 분류해 차등적인 보안 통제를 적용하는 등급별 보안 체계를 신설했습니다.

이를 통해 공공기관은 보안성을 유지하면서도 업무 효율성을 높일 수 있게 됩니다.

보안 정책의 실행력을 높이기 위해 예산과 인력 확보 기준도 강화했는데, 앞서 발표된 '범부처 정보보호 종합대책'에 따라 기존 지침에서 '노력해야 한다'는 권고 수준이던 정보화 예산 대비 보안 예산 15% 이상 운영, 정보화 인력 대비 보안 인력 10% 이상 확보 조항을 '운영하여야 한다'는 의무 사항으로 규정했습니다.

각 기관이 실질적인 보안 예산을 집행할 수 있는 근거를 마련해 준 것입니다.

인증 체계와 기술적 보안 요건도 구체화하면서 원격 근무자와 정보시스템 관리자에 대해 서로 다른 인증 방식을 결합한 다중 인증(MFA) 적용을 의무화했으며, 해킹 사고의 원인이 됐던 플러그인 소프트웨어 설치 강제 방식을 최소화하도록 했습니다.

또 AI 시스템 구축과 민간 클라우드 도입에 관한 보안 대책을 신설해 기술 변화에 따른 보안 공백을 메웠습니다.