N2SF 단계별 주요활동

N2SF 5단계는 국가정보원 보안성검토를 위한 기초활동

N2SF에 포함된 5단의 활동은 ➊준비, ➋C/S/O등급분류, ➌위협식별, ➍보안대책 수립, ➎적절성 평가·조정 까지 순차적으로 진행되고, 마지막 단계가 완료되면 국가정보원 보안성검토를 의뢰하게 된다.

이때, N2SF의 산출물은 국가정보원 보안성검토 의뢰에 포함된다. 각 주요활동의 산출물의 세부사항은 가이드라인을 참고하면 된다.

N2SF 단계별 주요활동의 상관관계

각 단계에서 수행되는 주요 활동의 산출물(문서파일 등)은 다음 단계의 활동을 위한 입력 정보로 활용된다. 즉, N2SF의 주요 활동은 상호 연관되므로 각 활동의 산출물을 정확히 정의하고 다음 활동으로 연계될 수 있도록 각급기관은 자체적인 N2SF 세부지침(방법론, 절차, 시스템 등)을 갖춰야 할 것으로 보인다.

보안성검토 의뢰 전 N2SF 단계별 주요활동에 대한 기관 자체평가의 중요성

N2SF는 각급기관이 수립한 보안대책의 적절성을 기관 스스로 평가하여 조정하는 단계를 포함하고 있으므로, 이 단계에서 N2SF 단계별 주요활동의 문제점, 미흡사항 등을 확인하고 보안성검토 의뢰 전에 바로잡을 수 있는 기회가 주어진다.

이것이 바로 N2SF 단계 5가지 중 마지막인 ‘적절성 평가·조정’ 단계이며, 기관이 자체 심의위원회(보안담당자, 보안 서비스 전문업체, 전문가 등)를 구성해 활동하게 된다.

가이드라인에 따르면, 더 이상 조정이 필요한 사항이 발견되지 않을 때 까지 평가·조정을 반복적으로 수행하게 된다.

만약, 조정이 필요함에도 불구하고 이를 파악하지 못하고 기관이 평가결과를 승인하여 보안성검토 의뢰를 하게되면, 이후 보안성검토에서 지적사항이 발생되어 더 복잡한 절차를 수반하는 조정을 거치게 될 가능성이 높다.

따라서, ➊업무정보와 정보시스템에 대한 C/S/O 등급의 분류가 올바른지, ➋위협모델링 방법론 적용은 올바른지, ➌발생 가능한 위협을 올바르게 식별했는지, ➍식별된 각 위협을 완화(Mitigate)/제거(Remove)/회피(Avoid)/전가(Transfer)하기 위한 보안대책은 올바르게 적용했는지, ➎보안통제 항목의 선택은 적절한지, ➏보안통제 항목의 구현 계획은 적절한지 등을 기관이 자체적으로 평가할 수 있어야 한다.

기관 자체적으로 이를 위한 능력을 갖추기 위해서는, N2SF에 대한 기술적 전문성을 가진 보안 서비스 전문업체를 N2SF의 모든 단계에 참여시켜 기관 보안담당자와 공동으로 N2SF 주요 활동을 수행토록 하는 것이 바람직하다.