N2SF CDR 매핑 가이드 / 260개 통제항목 체크리스트

2025년 9월 N2SF 1.0이 정식 공표된 데 이어, 2026년 4월 국가정보원은 이 체계를 5월부터 정식 시행한다고 발표했다^[5]. 공공기관 정보화 예산 대비 보안 예산 15%, 정보화 인력 대비 보안 인력 10% 확보가 의무화된다^[5]^[6] — 기존 "노력해야 한다" 권고 수준에서 의무로 격상된 것이다. 통제항목도 176개 → 260여 개로 확대되고^[2], 물리적 망분리 대신 기밀·민감·공개 3등급 분류로 맞춤 통제를 적용한다^[1]. 이 변화의 중심에 파일 반입·반출 통제가 있다. CDR이 구조적으로 직결되는 영역이다.

5월

N2SF 정식 시행 시점
2026년 5월^[5]

15%

보안 예산 의무 비율
정보화 예산 대비^[6]

260

N2SF 1.0 통제항목
176개 → 260여 개^[2]

100%

KISA 인증 악성코드 탐지율
Certified by KISA^[3]

1 N2SF 1.0이 바꾼 공공 보안의 전제

17년 동안 한국 공공 보안의 기둥은 물리적 망분리였다. 업무망과 인터넷망을 분리하면 외부 위협이 물리적으로 접근 불가능하다는 설계였다. 2025년 N2SF는 이 전제를 수정했다 — "망분리만으로 막을 수 없는 위협이 실제로 있고, 파일 이동 경로는 어쨌든 존재한다"는 현실 인정이다.

핵심 변화 3가지

N2SF 1.0이 바꾼 것을 세 줄로 요약하면 이렇다.

💡 N2SF 1.0 핵심 변화
등급 기반 통제: 물리적 분리 → 기밀·민감·공개 정보 등급별 맞춤 통제
통제항목 확대: 176개 → 260여 개. 클라우드·AI·공급망 영역이 대폭 추가
파일 콘텐츠 수준 방어 명시: 네트워크·엔드포인트 넘어 파일 내부 실행 콘텐츠 제거가 명시 요건

세 번째가 CDR의 직접 영역이다. N2SF 문서는 "실행 가능한 콘텐츠"라는 용어를 명시적으로 사용한다. 이는 Gartner의 CDR 정의와 동일한 개념이다. 국정원이 사실상 CDR을 통제 수단으로 상정한 것이다.

2 3등급별 CDR 적용 원칙

N2SF의 핵심은 정보 등급에 따른 차등 통제다. 모든 파일에 동일한 강도의 통제를 적용하면 운영이 마비되고, 모든 파일을 느슨하게 적용하면 보안이 실패한다. CDR 적용도 등급별로 원칙이 다르다.

등급	반입 원칙	CDR 적용 방식
🔐 기밀	외부 반입 불가 · 내부 반출 엄격 통제	내부 → 외부 반출 시 Reverse CDR 적용. 반출 전 모든 임베디드 객체·링크 제거.
⚠️ 민감	실행 콘텐츠 제거 후 반입 허용	CDR 필수. 매크로 · 스크립트 · OLE · DDE · 외부 참조 URL 자동 호출 로직 제거. 재조립 후 반입.
📄 공개	기본 보안 검사 통과 시 반입	AV 스캔 + 선택적 CDR. 매크로·스크립트 포함 파일은 자동 CDR. 순수 텍스트는 Pass-through.

⚠️ 오해 주의

"기밀 등급은 반입 금지니까 CDR이 필요 없다"는 생각은 반만 맞다. 반출 방향에는 CDR이 필요하다. 기밀 정보가 외부에 공유될 때 임베디드 매크로를 통한 내부 정보 유출 경로가 존재하기 때문이다.

3 CDR 연관 통제 영역 — 4개 카테고리

N2SF 가이드라인^[1]에서 CDR이 구조적으로 기여하는 영역은 4개 카테고리에 걸쳐 있다. 파일 반입·반출 통제, 악성코드 대응, 감사·로깅, 매체 통제다.

영역	CDR이 담당하는 역할
파일 반입·반출 통제	망간 전송 구간에서 실행 가능 콘텐츠 제거 · 재조립 · 전후 해시 기록
악성코드 대응	제로데이 포함 모든 파일에 대한 구조 기반 무해화 (판정 의존 없음)
감사·로깅	처리 이력 · 제거된 객체 유형 · 처리 시간 등 감사 증적 자동 생성
매체 통제	USB · 외장매체 반입 파일의 무해화 게이트 역할

실제 도입 현장에서는 파일 이동 경로별 우선순위가 더 유용하다. 각 지점의 일일 트래픽, 위협 노출도, 기존 인프라 연동 복잡도가 다르기 때문이다.

우선순위	적용 지점	적용 근거
1단계	메일 게이트웨이 (민감등급 반입)	최대 트래픽 · 1차 침투 벡터
1단계	망간 파일 전송 시스템	N2SF 반입·반출 통제 핵심
2단계	웹 업로드 게이트웨이	민원·제출 시스템 확산 대응
2단계	USB · 외장매체 반입 키오스크	N2SF 매체 통제 요구
3단계	협업 플랫폼 파일 공유	내부 확산 경로 차단
지속	감사 로그 중앙 수집·분석	심사 대응 증적 자동화

4 공공기관 도입 4단계 로드맵

N2SF 대응을 위한 CDR 도입은 단일 프로젝트가 아니다. 단계적 검증과 확장이 일반적이며, 기관 규모 · 파일 트래픽 · 기존 인프라에 따라 일정은 다르다. 아래는 단계별 표준 흐름이다.

PHASE 01 · 현황 진단

자산 · 파일 흐름 · 통제항목 Gap 분석

현재 파일 이동 경로 전수 조사. 메일 · 웹 · 망간 · 매체별 일일 처리량 계측. 기존 보안 솔루션(AV · 샌드박스 · DRM)의 커버리지와 N2SF 가이드라인 간 Gap을 식별한다.

산출물: 현황진단서 · Gap 리포트

PHASE 02 · PoC 설계

우선순위 영역 선정 및 PoC 수행

1단계 우선순위(메일 + 망간)부터 PoC 개시. 실제 업무 파일로 무해화 품질 · 처리 시간 · 가독성 보존을 측정한다. 민감 등급 샘플을 반드시 포함하고, 통과 기준은 기관이 운영 요건에 맞춰 사전 정의한다.

산출물: PoC 결과보고서 · 도입 타당성

PHASE 03 · 단계적 배포

1→2→3단계 우선순위 순차 배포

메일 게이트웨이 → 망간 전송 → 웹 업로드 → 매체 반입 순서로 확장. 각 단계마다 감사 로그 샘플 검증. 기존 인프라 무중단을 원칙으로 하며, 문제 발생 시 롤백 가능한 병렬 구성으로 시작한다.

산출물: 배포 완료 · 운영 SOP

PHASE 04 · 감사 준비 (상시)

N2SF 심사 대응

통제 영역별 증적 자료 자동 생성. 처리 로그 · 제거된 객체 유형 · 무해화 전후 해시를 감사 보고 형태로 월 · 분기 · 연간 단위로 출력한다. 심사 요청 시 신속히 제시할 수 있도록 증적을 사전에 구조화한다.

산출물: 감사 증적 · 심사 대응 준비

5 공공 담당자 실무 체크리스트

N2SF CDR 도입을 검토하는 공공기관 담당자가 의사결정 전 반드시 확인해야 할 10개 항목이다.

PRE-DECISION CHECKLIST

파일 흐름 전수 조사 완료 여부 메일·웹·망간·매체·협업 플랫폼까지 일일 처리량 수치화
파일 반입·반출 통제 영역 대응
3등급 분류 체계 수립 여부 기밀·민감·공개 구분 기준과 라벨링 규칙 문서화
N2SF 정보 등급 분류 요구
한국 특화 파일 포맷 지원 확인 HWP · HWPX · HWP-ML · 한국 공인인증서 관련 포맷
국산 포맷 커버리지 필수
매크로·OLE·DDE 제거 방식 검증 선택적 제거인지 전체 제거인지 · 재조립 품질
Gartner CDR 정의 준수
처리 시간 SLA 확인 파일당 처리 목표 시간 · 일일 최대 처리 건수 · 피크 타임 대응
기관 업무량 기반 계측
감사 로그 포맷 호환성 기존 SIEM · 감사 시스템과 연동 가능한 Syslog · CEF 지원
감사·로깅 영역 대응
무해화 전/후 해시 기록 원본과 재조립본의 해시값 동시 저장으로 사후 검증 가능
무결성 증적 필수
TTA GS · CC 인증 보유 국내·국제 보안 인증으로 보존 품질 검증 완료
공공 도입 의무 요건
기존 인프라 무중단 도입 방식 병렬 배포 · 롤백 가능한 구성으로 리스크 최소화
운영 연속성 확보
N2SF 1.0 통제 영역별 커버리지 매트릭스 벤더가 파일 반입·반출 / 악성코드 대응 / 감사 / 매체 통제 영역별로 어떤 요건을 직접 충족하는지 서면 확인
계약 전 필수 검증

6 실증사업 관찰 — KISA 사례집이 보여주는 공통 패턴

KISA가 2026년 4월 발행한 국가 망 보안체계(N2SF) 실증 사례집^[4]은 공공기관이 실제 N2SF 체계를 어떻게 구현하는지 보여주는 1차 자료다. 사례집의 전체 내용 공개는 제한되지만, 보도 자료·공공 레퍼런스에서 드러나는 공통 패턴을 정리할 수 있다.

패턴 1 — 이메일 게이트웨이가 1단계 필수

거의 모든 실증 사례의 1단계가 이메일 게이트웨이 CDR 적용이다. 공공기관 업무에서 이메일은 외부와의 주된 파일 교환 경로이며, 악성코드 1차 전파 경로의 75% 이상을 차지한다^[3]. 효과 대비 투자비가 가장 높은 지점이므로 1단계 배치가 표준이다.

패턴 2 — 망간 전송 구간의 SLF 연동

기존 망연계 시스템을 교체하지 않고 CDR을 연동하는 방식이 주류다. 완전 교체보다 위험이 낮고 예산 부담이 작으며, 기존 운영 프로세스의 연속성이 유지된다. 시큐레터 SLF는 이런 연동 운영을 기본 배포 모델로 지원한다.

패턴 3 — MARS 엔진 기반 감사 증적 자동화

N2SF 심사 대응을 위한 감사 증적 자동화가 중요 관찰 포인트다. 단순 무해화 로그만으로는 부족하고, MARS 엔진의 분석 결과까지 함께 기록되어야 심사에서 "왜 어떤 파일이 어떻게 처리되었는지"를 입증할 수 있다.

✅ 실증 사례 공통 교훈
단계별 배포가 성공 사례의 공통점 — 전면 교체 시도는 운영 리스크 증가
감사 증적 자동화가 N2SF 심사 통과의 핵심 — 수동 증적 수집은 비현실적
한국 포맷 완전 지원이 공공 환경의 필수 조건 — HWP·HWPX 처리 품질 검증 필수
MARS 분석 + SLCDR 무해화 조합이 표준 — 감사와 실시간 방어를 동시 충족

7 예산·인력 의무화 — 2026년 5월의 실질적 부담

N2SF 시행과 함께 공공기관이 마주한 가장 현실적 부담은 보안 예산 15% · 보안 인력 10% 의무화다^[6]. 기존에 "노력해야 한다" 권고 수준이던 조항이 의무로 격상됐다. 실무 관점에서 이 변화가 의미하는 바를 정리한다.

예산 15% 의무화의 의미

정보화 예산 대비 보안 예산 비율이 15% 미만인 기관은 단계적 확보 계획을 수립해야 한다. 2025년 기준 평균적인 공공기관의 보안 예산 비율이 10% 내외인 점을 고려하면 상당한 증액이 필요하다. 이 예산이 어디에 쓰일 것인가가 중요한 질문이다 — 솔루션 도입 · 인력 충원 · 운영 자동화 중 어느 쪽에 투자해야 가장 효과적인가. 실증 사례집의 공통 관찰은 "운영 자동화가 가능한 솔루션 우선 도입"이 비용 효율적이라는 점이다. 자동화가 인력 부담을 상쇄하기 때문이다.

인력 10% 의무화의 의미

정보화 인력 대비 보안 인력 10% 확보는 공공기관 규모에 따라 추가 채용 압력이 다르다. 중소 규모 기관은 1~2명 추가로 맞출 수 있지만, 대형 기관은 수십 명 규모의 증원이 필요하다. 실질적으로는 "신규 채용이 어려우면 외부 위탁·자동화로 대체"하는 방식이 허용된다. CDR처럼 운영 부담이 낮은 솔루션이 인력 의무화 부담을 완화하는 선택지로 주목받는다.

💡 예산·인력 의무화의 전략적 해석

단순히 "의무라서 채운다"가 아니라 "어떻게 채워야 규제 충족 + 운영 효율 동시 달성"인가가 관건이다. 운영 부담이 낮은 자동화 솔루션(예: CDR)에 예산을 배분하면 인력 부담 증가 없이 의무 조항을 충족할 수 있다. 이것이 실증 사례집에서 공통적으로 관찰되는 전략이다.

8 자주 묻는 질문 (FAQ)

Q1. N2SF 대응에 CDR이 필수인가요?

망간 파일 반입·반출 통제 영역의 통제항목은 CDR 없이 충족이 구조적으로 어렵다. 민감등급 문서의 실행 가능 콘텐츠 제거가 명시 요건이다. 다만 기밀 등급은 "반입 금지"가 기본이므로 CDR보다 정책적 차단이 우선한다.

Q2. 망분리가 완화되면 CDR이 더 중요해지나요 덜 중요해지나요?

더 중요해진다. 물리적 분리가 약화되면 파일 이동 경로가 늘어나고, 각 접점마다 콘텐츠 수준의 방어가 필요하다. N2SF가 CDR을 명시적으로 요구하는 배경이 이것이다.

Q3. 기존 샌드박스로 N2SF 요건을 충족할 수 있나요?

일부만 충족한다. N2SF 통제항목 중 일부는 "실행 가능 콘텐츠의 원천 제거"를 요구하는데, 샌드박스는 판정 기반이라 이 요건을 구조적으로 만족시키지 못한다. 실행 콘텐츠가 "판정 결과 양성"이어도 그 콘텐츠 자체를 제거해야 한다는 게 N2SF 요구다.

Q4. HWP/HWPX 포맷 대응이 왜 중요한가요?

공공기관 문서의 대부분이 HWP/HWPX이며, Kimsuky·APT37 등 한국 타겟 APT 그룹이 이 포맷을 공격 경로로 사용한다. 글로벌 CDR 벤더는 HWP를 완전히 지원하지 않는 경우가 많아 국내 특화 솔루션이 필요하다.

Q5. 도입 비용과 예상 기간은 어느 정도인가요?

기관 규모 · 파일 트래픽 · 기존 인프라 통합 범위에 따라 달라진다. 일반적으로 현황 진단 → PoC → 단계적 배포 → 감사 준비의 4단계를 거치며, 시큐레터는 공공기관 PoC를 별도 협의로 지원한다. KISA가 2026년 발행한 N2SF 실증 사례집^[4]에서 실증 사례 구조를 참고할 수 있다.

✓ 결론 — 규정보다 먼저 구조를 이해하라

N2SF 260개 통제항목을 체크리스트로 읽으면 숫자일 뿐이다. 하지만 "왜 이 통제가 필요한가"를 구조적으로 이해하면 도입 의사결정이 명확해진다. 파일 내부에 실행 가능한 콘텐츠가 존재할 수 있고, 망분리가 완화되면 경로가 늘어나고, 탐지 기반 접근은 제로데이에 뚫린다 — 이것이 N2SF가 CDR을 요구하는 구조적 이유다.

실무자 관점에서 가장 중요한 건 벤더 선정의 엄격함이다. 42개 항목 중 몇 개를 직접 충족하는지, HWP/HWPX 한국 포맷을 제대로 지원하는지, 감사 증적을 자동 생성하는지. 이 체크리스트의 10개 항목을 계약 전 서면으로 확인하는 것이 국정원 심사 통과의 기본이다.

2026년 5월 N2SF 시행 — 귀 기관의 Gap을 진단해드립니다

현황 조사부터 통제 영역 매핑, PoC 설계까지 단계별 로드맵을 함께 그립니다. 공공기관 PoC는 별도 협의로 지원합니다.

N2SF 대응 상담 신청 → 현황진단서 · Gap 리포트 · 통제 영역 커버리지 매트릭스 · 공공 레퍼런스 열람

REFERENCES

국가사이버안보센터(NCSC), 국가 망 보안체계(N2SF) 보안 가이드라인 — 본문 및 부록1(보안통제 항목 해설서), 2025 — ncsc.go.kr (기밀·민감·공개 3등급 분류 · 보안통제 6개 항목 근거).
ZDNet Korea, 국정원 보안 통제 항목 176→260여개로…N2SF 정식 지침 공표, 2025.09.09 — zdnet.co.kr/view?no=20250909182304.
SecuLetter Inc., Ensecure v2 — SecuLetter at a Glance, 2025.12.17 (KISA 100% malware detection rate 근거).
KISA 한국인터넷진흥원, 국가 망 보안체계(N2SF) 실증 사례집, 2026.04 — kisa.or.kr.
연합뉴스, 국정원, 망분리 폐지…N2SF 보안체계 5월 시행, 2026.04.17 — yna.co.kr (데이터 등급별 차등보안 전환 · 2026년 5월 시행).
보안뉴스, N2SF 보안 정책 제도화… 국가사이버보안 기본지침 5월 시행, 2026.04.17 — boannews.com (보안 예산 15% · 보안 인력 10% 의무화 근거).
MITRE ATT&CK, T1566 Phishing · T1137 Office Application Startup — attack.mitre.org.

공공 · N2SF 대응 · L3 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청