본문으로 건너뛰기

N²SF, 국가 네트워크 보안 프레임워크

· 약 5분

N²SF 개념

  • 국가 보안체계를 망분리 하지 않아도 보안성을 확보하는 것을 목표로 국가 및 공공기관의 정보보안 강화를 위해 도입된 신규 보안 프레임워크
  • 기존 망분리 정책의 클라우드, AI 등 신기술과 원격 근무 환경에서의 비효율, 제약 해결, 보안정책 패러다임 전환 / 신기술 융합 강화, 스마트 업무환경 조성 / 공공데이터 활용을 통한 디지털 경제 창출

N²SF 개념도, 정책 유형, 적용 절차

N²SF 개념도

N²SF 정책 유형

정책 유형설명비고
제로트러스트사용자와 디바이스를 지속적으로 검증하고, 최소 권한 원칙을 기반으로 접근 통제PDP, PEP, PIP
MLS(Multi-Level Security)데이터와 시스템의 보안 등급을 정의하고, 다단계 보안 정책을 적용C/S/O
망분리 완화망분리 정책을 완화하며 보안 통제를 강화하여 업무 연속성과 보안의 균형 확보스마트 업무환경

N²SF 적용 절차

구분주요 내용산출물
준비다중보안체계 적용을 위한 현황 파악 및 분석업무정보 목록, 정보시스템 목록
C/S/O 등급 분류업무 중요도 따른 정보시스템 대상 C/S/O 등급 분류정보시스템 C/S/O 목록
위협식별정보서비스 구성 환경 모델링 및 모델링 평가정보서비스 구성요소 평가서, 모델 C/S/O 평가결과
보안대책수립보안원칙에 따라 보안통제 선정보안통제 선택 목록, 구현계획
적절성 평가/조정등급 분류, 보안통제 적절성 평가 및 재조정보안통제 적절성 평가 결과서

N²SF와 CSAP 비교

구분N²SFCSAP
목표국가 및 공공기관의 망 보안을 강화하며 데이터 활용성 증대공공기관 클라우드 서비스의 안전성과 신뢰성 확보
주요 특징업무 중요도에 따른 등급별 차등 통제 (C/S/O)클라우드 서비스 유형(IaaS, SaaS 등)에 따른 보안 인증
적용 대상국가 및 공공기관 전산망공공기관에서 사용하는 클라우드 서비스
관리 주체국가정보원KISA
보안 접근법위협 식별 및 단계별 보안 대책 수립사전 인증 후 공공기관에 서비스 제공 가능
유효기간지속적인 평가와 조정인증 후 5년 유효

N²SF 주요 고려사항

  • 업무 중요도에 따른 C/S/O 등급 분류
  • 제로트러스트 도입 시간 및 비용 고려