법무법인(유) 화우

국가정보원은 2026년 5월 1일자로 종전 「국가 정보보안 기본지침」을 「국가 사이버보안 기본지침」(이하 “본 지침”)으로 명칭을 변경하고 일부개정하였습니다. 이번 개정의 핵심은 종전 제40조의 일률적 내부망·인터넷망 분리 조항을 삭제하고, 정보의 등급(기밀(C)·민감(S)·공개(O))과 도메인 구분에 기반한 국가 망 보안체계(N2SF)로 전환한 점입니다.

본 지침은 형식상 각급기관(공공기관)에 적용되나, 신설된 제4조 제3항에 따라 정보화사업 수주 용역업체, 정보시스템·정보보호시스템 개발·제조·공급업체, 클라우드컴퓨팅서비스 제공자, 전기통신사업자, 정보통신서비스 제공자도 국가정보원장의 자료제출 등 협조 요청에 정당한 사유가 없으면 응할 의무를 부담하게 되었습니다.

1. 적용 경로 및 주요 내용

2. 관련 쟁점

3. 시사점

1. 적용 경로 및 주요 내용

가.  적용 경로

본 지침은 「사이버안보 업무규정」 등 상위 법령에 근거한 국가정보원장의 행정규칙으로, 직접적 적용대상은 각급기관(제3조)이지만 다음과 같은 경로로 민간기업의 실무에 직접 영향을 미칩니다.

주의: 제4조 제3항의 협조의무는 신설된 조항이며, "정당한 사유"의 범위, 미협조 시 제재의 실효성, 그리고 영업비밀·고객정보 등과의 충돌 시 처리 방향에 대한 유권해석이나 후속 가이드라인은 현재까지 확인되지 않습니다. 자료제출 요청을 받은 기업은 사안별 법률 검토를 거쳐 대응 범위를 확정할 필요가 있습니다.

나. 주요 내용

(1) 망분리 일률규제 폐지와 N2SF(국가 망 보안체계) 신설

종전에는 모든 공공기관이 내부 업무망과 인터넷망을 물리적·논리적으로 분리하여야 한다는 일률적 의무가 규정되어 있었으나(舊 제40조), 이번 개정으로 동 조항은 삭제되었습니다. 대신 제3장 제1절(제39조의2~제39조의5)이 신설되어, 업무정보를 등급별로 분류하고 그에 상응하는 도메인·정보시스템·보안통제를 차등 적용하는 「국가 망 보안체계(N2SF, National network Security Framework)」가 도입되었습니다.

(2) 정보 등급 분류 체계 (제2조)

신설된 등급 체계는 단순한 분류표가 아니라 N2SF의 작동 단위입니다. 등급에 따라 처리 가능한 도메인·정보시스템·보안통제 수준이 달라지므로, 본 분류는 향후 공공조달 기획·솔루션 설계 단계에서 가장 먼저 결정해야 하는 변수입니다.

제39조의3 제1항 단서에 따라 「국가 망 보안체계 보안가이드라인」의 보안통제 항목을 준수하는 경우, 업무정보 등급보다 낮은 등급의 정보시스템·도메인에서도 처리가 가능합니다. 즉 N2SF는 등급 간 절대적 차단이 아니라, 보안통제를 통해 가이드라인 충족을 조건으로 한 유연한 운용을 허용하는 구조입니다. 동 보안가이드라인의 구체적 보안통제 항목은 ‘국가 망 보안체계 보안 가이드라인 1.0’를 통해 별도로 배포되었습니다.

2. 관련 쟁점

가. 민간 클라우드의 공공 시장 진입 경로 정비

제24조의3은 각급기관이 도입·운영할 수 있는 클라우드컴퓨팅 서비스를 「클라우드컴퓨팅 도입 가능 목록」으로 명시화하였고, 제24조의4는 민간 클라우드컴퓨팅 서비스 이용 시 동 목록에 등재된 서비스만을 이용하도록 규정하였습니다. 또한 제41조는 자체 구축형 클라우드와 민간 클라우드 모두에 대해 「국가 클라우드 컴퓨팅 보안 가이드라인」상의 국가 클라우드 보안기준 준수를 요구합니다.

실무적으로 이는 민간 CSP(Cloud Service Provider)입장에서 (i) 도입 가능 목록 등재 신청·심사 절차의 통과, (ii) 국가 클라우드 보안기준 충족, (iii) 등재 후에도 제4조 제3항에 따른 자료제출 등 협조의무 부담의 3중 구조로 작동합니다. 등재 절차의 구체적 운영 기준과 통과율은 향후 국가정보원이 공개하는 운영지침에 따라 결정됩니다. 전반적인 보안 지침은 국가사이버안보센터에서 발간한 ‘국가 클라우드 컴퓨팅 보안 가이드라인(2023.01)’등을 참고할 수 있습니다.

나. 협력업체 협조의무의 실질적 범위와 한계

제4조 제3항은 국가정보원장이 사이버보안 직무수행과 관련하여 사실의 조회·확인, 자료의 제출 등 협조 또는 지원을 요청할 수 있는 대상을 국가기관·관계 기관 외에 5개 유형의 민간 단체로 확장하였습니다. 이는 단순한 협력 권고가 아니라, "정당한 사유가 없으면 그 요청에 따라야 한다"는 의무 형식으로 규정되어 있습니다.

그러나 동 조항은 (i) "정당한 사유"의 판단기준, (ii) 자료제출 범위(고객 개인정보·영업비밀·소스코드 등의 포함 여부), (iii) 미협조 시 제재 수단의 직접적 근거를 명시하지 않습니다. 실무상으로는 「개인정보 보호법」상 정보주체의 권리, 「부정경쟁방지 및 영업비밀보호에 관한 법률」상 영업비밀 보호, 그리고 해외 고객·해외법인이 관련된 경우 외국법상 데이터 이전 제한과의 충돌 가능성이 있어, 사안별로 신중한 검토가 필요합니다.

다. 사용자 인증·관제 강화의 솔루션 시장 영향

제76조 제4항은 정보시스템 관리자 권한 인증에 다중인증을 원칙적으로 적용하도록 신설되었고, 제59조 제4항 제3호는 원격근무 시 소유기반 인증과 생체기반 인증 등 서로 다른 인증방식의 다중 적용을 의무화하였습니다. 또한 제131조 제5항 제5호는 EDR을 보안관제체계와 연동하도록, 제54조 제6항은 공공 웹사이트의 플러그인 강제·유도 방식을 최소화하도록 신설되었습니다.

이로 인해 (i) 다중인증 솔루션·통합인증체계(SSO/IAM), (ii) EDR·XDR 및 보안관제 연동, (iii) HTML5 기반 비-플러그인 본인인증·결제·전자문서 솔루션의 공공 부문 수요가 구조적으로 확대될 가능성이 있습니다. 반면 종전 망분리 환경에 특화되었던 일부 솔루션 영역은 N2SF 전환에 따른 재정의가 필요할 수 있으며, 그 정도는 「국가 망 보안체계 보안가이드라인」의 구체적 통제항목에 따라 달라질 것입니다.

3. 시사점

이번 개정의 핵심은 단순한 제도 변경을 넘어 국가 사이버 보안의 패러다임이 획일적인 ‘차단’에서 데이터 중심의 ‘유연한 통제’로 완전히 전환되었다는 데 큰 의미가 있습니다. 특히 민간 기업에 부여된 협조 의무와 N2SF(국가 망 보안체계)의 도입은 공공 시장 진입을 위한 필수 요건이 단순한 제품 성능을 넘어 ‘거버넌스 준수 및 법률적 대응 역량’으로 확장되었음을 시사합니다. 이는 기업에 클라우드 기반의 유연한 업무 환경을 제공하는 기회가 되는 동시에, 영업비밀 보호와 공공 안보 협력 사이에서 정교한 균형점을 찾아야 하는 전략적 과제를 안겨줍니다. 따라서 각 기업은 하단의 점검 사항을 통해 자사의 비즈니스 모델이 변화된 규제 환경에서 가질 실무적 영향력과 법적 리스크를 선제적으로 파악해야 합니다.

법무법인(유한) 화우 정보보호센터는 정보통신·정보보안 규제, 「개인정보 보호법」·「정보통신망법」·「전자정부법」 등 관련 법령 자문과 공공조달·클라우드·SI 사업 자문에 풍부한 경험을 보유하고 있습니다. 본 지침과 관련하여 화우는 (i) 민간 클라우드 사업자의 「클라우드컴퓨팅 도입 가능 목록」 등재 전략 자문, (ii) 공공 SI·보안솔루션 사업자의 N2SF 전환 영향 분석 및 RFP 표준 재설계, (iii) 통신사·ISP·정보통신서비스 제공자의 협조의무 대응체계 구축, (iv) 자료제출 요청 사안별 법률검토(영업비밀·개인정보·외국법 충돌)에 이르기까지 통합적 자문을 제공하고 있습니다.

또한 공공조달 분쟁, 보안사고·침해사고 대응, 사이버보안 거버넌스 구축, 「국가정보원법」·「사이버안보 업무규정」 등 관련 법령 해석에 관한 자문 경험을 토대로, 고객사가 본 지침 시행에 따른 단기 대응뿐 아니라 중장기 사업전략 재설계까지 안정적으로 수행할 수 있도록 지원합니다.