국가 망 보안체계(N²SF, National Network Security Framework)

1. 국가 망 보안체계(N²SF, National Network Security Framework)의 개념

• 각급기관의 업무를 식별하고 중요도별로 등급을 구분한 후, 해당 등급에 맞추어 보안대책을 차등 적용하는 사이버보안 프레임워크
• 국가·공공기관의 업무정보와 정보시스템에 대해서 업무 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open) 등 3가지의 등급으로 분류
• 등급별 차등적인 보안통제를 적용하여 보안성 확보와 원활한 데이터 공유 목적 달성

2. 등장 배경

• 클라우드, 원격근무, 생성형 AI 등 IT 환경의 급격한 변화로 망 분리 환경에서 업무를 효율적으로 수행하기 어려워짐에 따라 망 분리 정책 개선

3. 절차

• '준비 > C/S/O 등급분류 > 위협식별 > 보안대책 수립 > 적절성 평가·조정'으로 5단계로 이루어져 있다.
• 5단계 이후 N²SF 산출물에 대해 국가정보원에 보안성 검토를 의뢰한다.

3.1. 준비 (Prepare)

• 기관의 업무 정보, 정보서비스 현황을 식별 및 분석
• 이후 절차에 필요한 기초적인 정보 확보
• 국가 망 보안체계 적용 계획 수립

3.2. C/S/O 등급분류 (Categorize)

• 업무 중요도에 따라 C(Classified:기밀), S(Sensitive:민감), O(Open:공개)로 분류

3.3. 위협식별 (Identify)

• 정보시스템을 포함한 서비스 환경 전체를 대상으로 모델링 기법을 활용하여 위협을 식별
• 보안대책 적용이 필요한 대상 선정

3.4. 보안대책 수립 (Select)

• 위협식별 결과를 기준으로 필요한 보안통제 선택 및 구현계획 수립

3.5. 적절성 평가·조정 (Access)

• 준비, C/S/O 등급분류, 위협식별, 보안대책 수립의 전 과정에 대한 적절성을 평가하고 재조정 및 승인 수행