23호. 새해, 달라진 사이버보안평가 실태평가 지표

안녕하세요, 앤앤에스피(NNSP) 입니다.

새해가 되면 우리는 자연스럽게 계획을 세웁니다. 예산, 인력, 사업 목표를 다들 세우셨죠? 당연히 보안도 똑같이 ‘연간 계획’이 필요한 영역입니다. 

AI와 클라우드가 일상이 되면서 업무는 더 빨라지고 더 많이 연결됐습니다. 그만큼 공격자도 더 빠르게 움직이고, 사고가 나면 영향 범위도 커집니다.

이제 보안은 “장비를 갖췄다”로 끝나는 일이 아니라, 우리 조직이 실제로 안전하게 운영되고 있는지를 계속 점검하고 개선해야 하는 일이 됐습니다.

특히 2026년에는 정부 공공기관 사이버보안 실태평가지표 등이 바뀌면서 “예전 방식대로 하고 있으면 괜찮다”가 아니라 변화에 맞게 운영을 바꿔야 하는 시점입니다. 

2026년 국가공공기관 보안 실태평가지표 개편   

올해부터 국가·공공기관 사이버보안 실태평가지표가 달라졌습니다. 사이버보안 실태평가란 국가정보원이 중앙행정기관, 지자체, 공공기관의 사이버 보안 대응 역량을 매년 점검 평가하는 제도입니다. 

국정원은 2025년 말 지표를 개편했는데, 이번 변화는 단순히 '점수 배점'을 바꾼 게 아니라 '보안을 보는 기준 자체가 바뀌었다'는 신호입니다.

예전 질문이 “망을 분리했나요?”였다면, 이제는 “AI·클라우드 시대에 맞춰, 실제로 안전하게 운영하고 있나요?”를 묻습니다. 

첫째, 망분리 항목이 N2SF 적용(5.5점)으로 전환됐습니다. 이제는 “분리했나요?”가 아니라 “연결된 환경을 정책·통제·기록으로 관리하나요?”를 봅니다.

둘째, 인증은 ‘로그인 확인’에서 ‘MFA 강화(2점)’로 바뀌었습니다. “접속했다”가 아니라, 어떻게 강하게 인증하느냐가 중요합니다.

셋째, 운영력에 점수를 더 줍니다. 재난 대책·훈련·예산은 배점이 올라갔고, DR 구축, AI 보안업무, N2SF 구축, 교육·훈련 참여 같은 항목은 가산점(최대 4점)이 생겼습니다. 

이제, 장비를 ‘갖춘 것’보다, 안전하게 ‘운영 하는 것’이 관건입니다. 

사이버보안 실태 평가지표 변화 핵심 'N2SF'

변화된 평가지표에서 가장 눈에 띄는 부분은 '국가망보안체계(N2SF) 구축'입니다. 

N2SF 보안 가이드라인을 준수하여 전산망을 운영하는가? 이것이 핵심 질문입니다.

N2SF는 데이터 중심 보안 체계입니다. N2SF를 구축하려면 내부 데이터를 중요도에 따라 나누고 보안을 통제를 하는 것은 물론이고 원활하게 공유해야 합니다. 

이 지점에서 주목받는 해법이 바로 CDS(Cross Domain Solution)입니다.

기존 망분리 체계에서 사용하던 망연계 장비를 → CDS 기반 구조로 전환하면 단순 데이터 전달 장치를 넘어, N2SF가 요구하는 보안 통제 요소를 구조적으로 충족할 수 있습니다.

CDS는 등급에 따라 나눠진 데이터가 특정 조건을 만족했을 때 어떤 방향으로 이동하는지 기록을 남기며 정책 단위로 통제할 수 있는 솔루션입니다. 

망연계 장비가 ‘보안 기능이 제한된 통로’ 역할을 했다면 CDS는 ‘보안 통제를 통한 데이터 관리’를 제공합니다. 

N2SF 구현의 기반, ‘앤넷CDS(nNetCDS)’

그동안 많은 기관은 파일을 옮기거나 제한된 연계를 허용하는 망연계 장비를 사용했습다. 이제는  '통로가 있다'가 아니라 정책 기반 통제, 정교한 검증, 감사 가능한 기록(증적)이 필요합니다.

기존 장비로 '망분리'는 가능해도, 'N2SF를 적용하고 있다'고 말할 수 없습니다.

데이터 분류 후 CDS 도입은 N2SF 적용 대응에 유리한 운영 구조를 확보하고, AI+클라우드 연계확대에도 대응 가능한 확장성까지 제공합니다.

앤앤에스피 '앤넷CDS'는 2025년 시행된 N2SF 시범 사업 중 2개 기관에서 실효성을 입증했습니다. 

👉 nNetCDS 도입과 PoC 상담이 필요하시면 언제든 연락주십시오.

구독자 여러분 새해 복 듬뿍 받으시고

다음 호에서 뵙겠습니다. 

감사합니다.