[2026 K-방산혁신포럼 (9)] 류연승 명지대 교수 “N2SF, 방산에 적용하기 위해 망분리 보안체계 개선해야”

[뉴스투데이=남지유 기자] 방위산업 분야에서 물리적 망분리 중심의 기존 보안체계를 개선하고 데이터 중요도에 따라 차등 보안체계를 적용해야 한다는 의견이 나왔다. 인공지능(AI)과 클라우드 등 디지털 기술 활용이 확대되는 상황에서 방산 데이터 특성에 맞는 보안 정책 정비가 필요하다는 지적이다.

뉴스투데이는 11일 국회 의원회관 제1소회의실에서 ‘AI 시대 K-방산 지속발전을 위한 사이버보안 해법’을 주제로 ‘2026 K-방산혁신포럼’을 개최했다.

이날 포럼은 정책과 기술 분야로 나뉘어 진행됐으며 정책 분야를 다룬 제1세션에서 류연승 명지대 방산안보학과·보안경영공학과 교수가 ‘국가망 보안체계(N2SF)의 방위산업 적용’을 주제로 발표했다. 

류연승 교수는 먼저 방위산업 보안 체계의 구조적 특징을 설명했다.

현재 방산업체는 국방부 훈령인 ‘방산보안업무훈령’에 따라 업무망과 인터넷망을 물리적으로 분리하는 보안 체계를 적용하고 있다. 방산 관련 비밀과 방위산업기술, 연구개발(R&D) 자료 등 주요 정보는 업무망에서만 취급할 수 있으며, 인터넷망에는 어떠한 자료도 저장할 수 없도록 설계돼 있다.

이 같은 물리적 망분리 체계는 군사기밀 보호 측면에서는 효과적인 보안 장치로 작동했지만 최근 AI, 클라우드, 빅데이터 등 신기술 활용을 제약하는 구조적 한계로 지적되고 있다. 방산업체들이 외부 데이터 접근이나 오픈소스 활용에 어려움을 겪고 있으며, 재택근무나 해외 출장 환경에서도 내부 업무망 접근이 제한되는 문제가 발생하기 때문이다.

류 교수는 “망분리 환경에서 클라우드 사용과 AI, 빅데이터 기술 활용이 어렵고 민군 협업 기반의 신기술 개발도 쉽지 않다”라며 “근무환경 제약으로 생산성이 떨어지고 고급 개발 인력이 이탈하는 문제도 발생할 수 있다”라고 진단했다. 

이에 따라 그는 이러한 문제 배경으로 방산 데이터에 대한 세분화된 보안 체계가 부족하다는 점을 지적했다. 현재 방산업체 데이터는 크게 △군사기밀(방산 관련 비밀) △방위산업기술 △방산 관련 주요자료 △방산 관련 일반자료 등 4가지 유형으로 분류된다.

군사기밀은 누설되면 국가안전보장에 명백한 위험을 초래할 수 있는 군(軍) 관련 문서나 전자기록 등을 뜻한다.  방위산업기술은 국방과학기술 가운데 국가안보 보호가 필요한 기술이다. 방산 주요자료에는 R&D 자료와 시험평가 결과, 제안서, 연간 생산계획 등이 포함된다. 방산 일반자료는 기밀 수준은 아니지만 보호가 필요한 정보로 분류된다.

그런데 현재 방산 보안 체계는 이러한 데이터 유형에 대한 차등적인 보호 체계가 충분하게 마련되지 않았다는 지적이 나온다. 특히 군사기밀과 방위산업기술 중심의 보안 관리 체계가 구축돼 있지만 나머지 데이터에 대해 활용성과 보안성을 동시에 고려한 관리 체계가 부족하다는 것이다.

류 교수는 이에 대한 해법으로 국가망 보안체계(N2SF)를 방위산업 분야에 적용할 필요가 있다고 강조했다. N2SF는 국가·공공기관의 물리적 망분리 제도를 개선하기 위해 도입된 보안 정책이다. 이에 따라 업무 정보와 정보시스템을 중요도에 따라 △기밀(C)  △민감(S)  △공개(O) 등 3등급으로 분류하고 등급별로 차등 보안 통제를 적용하는 방식이다.

이를 통해 데이터 활용성과 보안성을 동시에 확보할 수 있다. 류 교수는 방산 데이터 역시 이 같은 기준을 적용해 △방산 관련 비밀은 기밀 △방위산업기술은 기밀 또는 민감 △방산 주요자료는 민감 △방산 일반자료는 민감 또는 공개 등으로 구분하는 방안을 내놨다.

또한 방산 보안 관리 제도의 운영 방식도 소개했다. 현재 방산업체는 보안측정과 보안감사, 실태조사, 통합실태조사 등 다양한 점검 제도를 적용받고 있다. 구체적으로 살펴보면 약 200개 이상의 보안 통제 항목을 기준으로 보안 체계를 점검받고 있는 게 현실이다.

해외 사례도 언급됐다. 미국은 방산업체의 민감정보를 보호하기 위해 사이버보안 인증 제도 'CMMC(Cybersecurity Maturity Model Certification)'를 운영하고 있으며 이를 통해 방산 기업의 정보보호 수준을 관리하고 있다.

류 교수는 방산 클라우드 보안 정책 정비 필요성도 강조했다. 현재 방산업체는 업무망에서 직접 클라우드와 통신할 수 없고, 인터넷망에서도 방산 일반자료만 보안성 검토를 거쳐 송수신할 수 있다. 이에 민간 클라우드 활용이 사실상 어렵다는 지적이 나온다.

그는 데이터 등급 기반 보안체계를 도입하면 이러한 문제를 완화할 수 있다고 설명했다. 방산 데이터를 C·S·O 등급으로 분류하고 국가망 보안체계 기준에 따라 보안 통제를 적용하면 클라우드와 AI 등 디지털 기술 활용이 보다 용이해질 수 있다는 설명이다.

류 교수는 “모든 데이터를 내부망에서만 처리하도록 하는 현행 물리적 망분리 제도는 개선이 필요하다”라며 “데이터 활용과 보호 사이에서 균형을 찾는 방향으로 방산 보안 정책을 정비해야 한다”라고 말했다.

류 교수는 데이터 등급에 따라 보안 통제를 적용하는 방식으로 제도를 개선하면 민간 클라우드 활용 등 디지털 기술 적용이 보다 용이해질 수 있다고 설명했다. 이를 위해 국방 데이터와 방산 데이터를 등급별로 관리하는 국방부 훈령 개정이 필요하다고 강조했다.

류 교수는 “국방보안업무훈령, 국방사이버안보훈령 등 다양한 규정이 존재하지만 데이터 등급에 따른 민감정보 보호 체계는 부족하다”며 “N2SF 기반 보안체계를 도입해 방산 데이터 활용성과 보안성을 함께 높여야 한다”라고 주장했다.

(출처) https://m.news2day.co.kr/article/20260311500179