N2SF 3등급 분류 C·S·O 완전 해부 — 2026.5 시행 대응 가이드

2025년 9월 9일 국가정보원이 공표한 국가 망 보안체계(N2SF, National Network Security Framework) 1.0은 2026년 5월 정식 시행을 앞두고 있다^[1]^[2]. 통제항목은 기존 176개에서 260여 개로 확대됐고^[3], 그 설계의 중심축이 C(Classified) · S(Sensitive) · O(Open) 3등급 분류다^[4]. 획일적 물리 망분리에서 데이터 민감도 기반 차등 통제로의 패러다임 전환이며, 이는 미국 FIPS 199의 Low · Moderate · High, 영국 Government Security Classifications의 OFFICIAL · SECRET · TOP SECRET과 동일한 국제 표준 궤적이다^[5]^[6]. 공공기관 담당자 입장에서 2026년 5월까지 준비해야 할 것은 세 가지 — ① 분류 기준 수립과 라벨링 체계 · ② 등급 간 데이터 흐름(반입/반출) 통제 인프라 · ③ 등급별 CDR 차등 적용 설계. 이 글은 그 세 축을 1차 자료로 해부한다.

정보 등급 분류
C · S · O^[4]

2026.5

N2SF 정식 시행
공표 2025.9.9^[2]

260+

통제항목 확대
176 → 260여 개^[3]

309

SLCDR 지원 포맷
등급별 차등 적용^[7]

1 N2SF 등장 배경 — 획일적 망분리의 한계

2013년 국가정보원·행안부가 국가·공공기관 망분리 지침을 강제한 이래, 한국 공공 보안의 기본 모델은 "내부망과 외부망의 물리적·논리적 절단"이었다. 두 망 사이를 오가는 모든 파일은 망연계(망간자료전송) 장비를 거쳐야 했고, 내부망 안에서는 모든 정보가 동일한 보호를 받는 것이 원칙이었다.

이 모델은 2010년대 중반까지 유효했다. 그러나 클라우드 전환 · SaaS 협업 · 원격근무 · AI 업무 활용이 겹치면서 획일적 망분리는 비효율의 대명사가 됐다. 국가정보원은 2023년부터 N2SF 준비에 착수했고, 2025.9.9 "망분리 폐지가 아닌 고도화"로 공식 방향을 확정했다^[2]. 핵심은 정보 민감도(C/S/O)에 따른 차등 통제이며, NIST SP 800-60^[8]·FIPS 199^[5]와 방향을 같이한다.

💡 N2SF의 3대 설계 원칙

① 데이터 중심 보안(Data-Centric Security) — 망이 아닌 데이터가 보호 단위. ② 차등 통제(Risk-Based Controls) — 민감도에 비례한 통제 강도. ③ 증거 기반 거버넌스(Auditable Governance) — 모든 흐름은 로그·라벨·승인 증적으로 재구성 가능해야 한다. 이 세 원칙이 C·S·O 분류와 260여 개 통제항목의 뼈대다.

2 C등급(Classified) — 정의와 요구사항

C등급은 국가안보에 중대한 영향을 미치는 정보로, 유출 시 외교적·군사적·경제적 심각한 피해를 초래할 수 있는 범주다^[4]. 기존 국가보안업무규정의 I·II·III급 비밀이 여기 편입되며, 일부 공공기관의 대외비 중 상위 등급도 C로 재분류될 수 있다.

C등급 정보의 범위

외교: 외교 전문, 양자·다자 협상 문서, 정상회담 배석 보고
국방: 작전 계획, 무기체계 설계도, 군사 훈련 세부 일정
정보: 정보기관 내부 보고서, HUMINT/SIGINT 수집물, 출처 보호 자료
국가기반시설: 원자력·전력·통신 망 구조 상세도, SCADA 운영 매뉴얼 중 민감 구간
암호: 국가용 암호모듈 설계, 키 관리 체계 상세

C등급 보호 요구사항

물리 망분리 유지 — 외부망과 완전 절단. 인터넷 연결 원칙적 금지
외부 반입 금지 — 외부 → C망 방향 모든 파일 반입 원칙적 차단. 불가피한 경우 키오스크 + 승인 + CDR + 보안관제 다중 게이트
반출 엄격 통제 — C→S, C→O 하향 이동은 재분류 승인 + Reverse CDR 필수
접근 권한 최소화 — Need-to-know 원칙. 역할 기반 접근통제(RBAC) + 이중 인증
감사 로그 100% — 모든 열람·편집·출력·반출 이벤트 자동 기록. 보존기간 5년 이상
외부 클라우드 불가 — CSAP 상 등급 전용 On-Premise 또는 국가 전용 클라우드만 허용
매체 반입 금지 — USB·외장하드·광학매체 원천 차단. 예외는 봉인 관리
암호화 — 저장·전송 모두 국가용 암호모듈(KCMVP 검증) 강제

⚠️ C등급의 "반입 불가" 원칙은 실무에서 깨진다

외교·국방 실무에서 외부 협력 문서(한미 공동 프로그램·국제 입찰·해외 전문가 기고)의 C등급 망 반입이 불가피한 경우가 존재한다. N2SF는 이를 위해 "예외적 반입 프로세스"를 규정하되 ① 기관장 승인, ② 격리 키오스크 경유, ③ 전수 CDR + 정적 분석, ④ 24시간 격리 관찰 후 반입의 4중 통제를 요구한다. 시큐레터 MARS 엔진 기반 분석 + SLCDR 무해화 조합이 이 파이프라인의 표준 구성이다.

3 S등급(Sensitive) — 정의와 요구사항

S등급은 기밀은 아니지만 유출 시 개인·조직에 실질적 피해가 발생하는 정보다^[4]. 미국 CUI(Controlled Unclassified Information), 영국 OFFICIAL-SENSITIVE와 대응된다. 2026년 5월 시행 이후 공공기관 업무 문서의 다수가 이 S등급에 속하게 될 것으로 관측된다.

S등급 정보의 범위

개인정보: 주민등록번호·건강보험·납세·복지 수급 자료 (개인정보보호법상 고유식별정보 포함)
민원 정보: 민원인 신상·민원 내용·처리 이력
내부 정책 문서: 공표 전 정책안, 감사 진행 자료, 인사 관련 자료
계약·입찰: 예정가격, 기술평가서, 협상 경과 자료
공공기관 주요 업무 자료: 재무 상세, 사업 전략, 이사회 자료
연구 자료: 공표 전 연구 결과, 특허 출원 전 기술 문서

S등급 보호 요구사항

조건부 외부 반입 허용 — 이메일·웹·파일 게이트웨이 경유 시 CDR 필수
CDR 필수 적용 — 매크로·OLE·JSE·하이퍼링크·외부 참조 구조적 제거. 2026년 HWPX+JSE·OLE DLL 사이드로딩 류 위협에 유효^[7]
업무 기반 접근통제 — 부서·직무 기반 RBAC. 최소 권한 원칙
감사 로그 100% 기록 — C등급과 동일 수준
외부 클라우드 조건부 — CSAP 중 등급 이상 검증 클라우드에 한해 승인 후 이용
매체 반입 키오스크 경유 — USB 반입 시 키오스크에서 CDR + 백신 스캔 + 라벨 부착
개인정보 암호화 — 저장·전송 모두 암호화. 가명처리·익명처리 적용
반출 로그 — 외부로 나가는 모든 S등급 문서는 송신자·수신자·시간·첨부 유형 기록

✅ S등급은 CDR이 가장 필수적인 구간

C등급은 반입이 원천 금지, O등급은 선택적 CDR. S등급은 "외부와 상시 교류하지만 반드시 안전화되어야 하는" 구간이다. 공공기관이 N2SF 통제항목 260여 개 중 가장 많은 투자 비중을 두어야 하는 지점이 바로 S등급 흐름 통제이며, 여기에 CDR이 핵심 인프라로 자리한다. SLF 파일 게이트웨이, SLE 이메일 보안, SLCDR 웹 업로드 — 시큐레터 4종 제품군 중 3종이 정확히 이 구간을 커버한다.

4 O등급(Open) — 정의와 요구사항

O등급은 외부 공개가 허용되거나 특별한 비밀 요건이 없는 정보다^[4]. 보도 자료 · 공공 데이터 포털 게시물 · 정부 홍보물 · 일반 행정 안내가 여기 속한다.

O등급 정보의 범위

보도 자료 · 공개 가이드라인 · 정부 홍보물
공개 입찰 공고 · 정책 설명자료 · 통계 공표 자료
외부 협력 자료 · 교육·행사 자료
공공 데이터 포털(data.go.kr) 공개 데이터셋

O등급 보호 요구사항

외부 반입·반출 자유 — 기본적인 보안 검사만 통과하면 자유로운 흐름
선택적 CDR — 매크로·실행 스크립트 포함 파일에 한해 CDR 적용
일반 AV 스캔 — 표준 백신 검사 통과
감사 로그 샘플링 — 100% 기록 의무 없음. 샘플링 감사
외부 클라우드 허용 — CSAP 하 등급도 허용 가능
매체 반입 허용 — 스캔 후 통과

💡 O등급도 방어가 필요하다

"공개 정보"라고 해서 방어가 불필요한 것은 아니다. 공격자가 O등급 통로로 악성 파일을 주입해 내부 사용자를 감염시키는 시나리오가 실제로 빈번하다(2024-2026 Kimsuky·APT37 HWP 캠페인 참조). O등급은 "통제 강도는 낮지만 기본 위생은 유지"하는 구간으로 설계해야 한다. 매크로·OLE·JSE 포함 파일에는 여전히 CDR이 필요하다.

5 등급 간 데이터 흐름 통제 — Upward · Downward 규칙

N2SF 통제항목의 상당수는 등급 간 이동(Cross-Tier Flow)을 규율한다. 흐름 방향에 따라 규칙이 비대칭이다.

UPWARD(O→S→C) — 낮은 등급에서 높은 등급으로

핵심 리스크: 외부 악성 콘텐츠가 내부 고등급망에 진입
요구 통제: 게이트웨이 CDR · 정적 분석 · 샌드박스 · 승인 기록
O→S: CDR 적용 후 라벨 상향. 자동 가능
O→C, S→C: 기관장 또는 정보보호최고책임자(CISO) 승인. 격리 키오스크 경유. 24시간 관찰 후 반입

DOWNWARD(C→S→O) — 높은 등급에서 낮은 등급으로

핵심 리스크: 내부 고등급 정보가 저등급 채널로 유출(내부 유출 · 미인가 공개)
요구 통제: 재분류 승인 · 내용 검토 · Reverse CDR · 감사 증적
C→S: 기관장 승인 + 내용 심사. 개인식별자·민감 참조 제거(Reverse CDR)
S→O: 부서장 승인 + DLP 검사. 개인정보 자동 마스킹
라벨 하향 불가 케이스: 외교 전문, 정보 출처 자료는 하향 불가. 폐기만 허용

흐름 매트릭스

From \ To	O	S	C
O	자유	CDR + 라벨 상향	승인 + CDR + 격리
S	DLP + 부서장 승인	자유(동일 등급)	승인 + CDR
C	Reverse CDR + 기관장 승인	재분류 심사	자유(동일 등급)

6 기관 유형별 등급 매핑

N2SF는 모든 기관이 동일한 통제를 받는 것이 아니다. 기관 유형과 업무 성격에 따라 C·S·O 비중이 다르다. 국가정보원 N2SF 가이드라인은 기관 유형별 참조 매핑을 제시한다^[1].

기관 유형	C 비중	S 비중	O 비중	핵심 포인트
중앙부처 (외교·국방·통일)	높음	중간	낮음	C망 물리분리 유지 · 해외 교류 예외 반입 프로세스
중앙부처 (경제·산업·복지)	낮음	높음	중간	개인정보 대규모 처리 · S등급 CDR 핵심
광역지자체 (시도)	낮음	높음	중간	민원·복지 S등급 집중 · 주민 직접 서비스 O 비중
기초지자체 (시군구)	거의 없음	중간	높음	주민 서비스·공개 행정 비중 높음
공공기관 (SOC·에너지·통신)	중간	높음	낮음	국가기반시설 설계 일부 C · 운영·재무 S
공공기관 (건강보험·연금·복지)	낮음	매우 높음	낮음	개인정보 대량 S등급 · 가명처리 인프라 필수
지방공기업 (도시철도·상하수도·개발)	거의 없음	중간	중간	운영 자료 S · 공개 행정 O 균형
국립대학·연구기관	중간	높음	중간	국방·우주 과제 C · 연구 자료 S · 논문 O

💡 광역지자체의 S등급 집중

광역지자체(시도)는 주민등록·세무·복지·민원을 모두 다루므로 S등급 데이터 체적이 중앙부처보다 많을 수 있다. 2025년 감사원 조사 기준 광역지자체의 개인정보 보유 건수가 중앙부처 평균의 3배 수준이다. N2SF 2026.5 시행에 맞춰 광역지자체가 준비해야 할 우선순위는 "S등급 전용 게이트웨이 + CDR + DLP" 3종 세트다.

7 CDR의 등급별 차등 적용

CDR(Content Disarm & Reconstruction)은 N2SF 통제항목 중에서도 S등급의 핵심 도구다. 다만 등급별로 적용 수준·정책이 달라야 효율적이다.

등급별 CDR 정책 설계

등급	CDR 적용	제거 대상	보존 우선순위
C	반입 경로에 한해 최대 강도 + Reverse CDR(반출 시)	매크로·OLE·JSE·하이퍼링크·외부 참조·숨겨진 주석·메타데이터 전체	보안 > 가독성
S	필수 · 표준 강도	매크로·OLE·JSE·활성 스크립트·외부 링크 자동 호출·위험 임베드	보안 = 가독성
O	선택적 · 경량	매크로·JSE 등 실행 요소만 제거. 하이퍼링크·이미지 임베드는 유지	가독성 > 보안

Reverse CDR의 역할

Reverse CDR은 일반 CDR과 방향이 반대다. 외부 → 내부가 아니라 내부 → 외부 방향에서, 내부 고등급 문서가 저등급 채널로 나갈 때 개인식별자·기밀 메타데이터·숨겨진 추적자·출처 정보를 제거한다. C→S, S→O 하향 이동 시 필수 단계다.

CDR 처리 성능이 통제의 현실성을 결정한다

S등급 게이트웨이에서 하루 수십만 건의 첨부파일을 처리하려면 CDR 엔진의 처리 속도가 결정적이다. 시큐레터 SLCDR은 평균 34ms에 단일 파일 무해화를 완료하며^[7], KISA로부터 100% 악성코드 탐지율 인증을 받았다^[9]. 이 성능 지표가 N2SF 시행 이후 공공기관 업무 체감 품질을 좌우한다.

8 파일 게이트웨이 · 이메일 · 웹 콘텐츠 통제

N2SF 흐름 통제는 단일 제품이 아닌 3개 채널 × 3개 등급의 매트릭스로 설계된다.

3대 진입 채널

파일 게이트웨이(SLF) — 망연계 자료전송. USB·외장하드·공유 폴더
이메일(SLE) — 외부·내부 메일 첨부. 전체 위협 벡터의 75%^[9]
웹(SLCDR) — 업로드·다운로드·SaaS 연계. 웹메일·클라우드 드라이브

채널 × 등급 매트릭스

채널	O	S	C
파일 게이트웨이	스캔 + 선택적 CDR	CDR 필수 + 라벨 검증	키오스크 + CDR + 격리 관찰
이메일	AV + 스팸 필터	CDR + 링크 sanitize + DMARC	외부 이메일 수신 금지
웹	AV + 확장자 필터	CDR + 업로드 승인 + DLP	외부 웹 접근 차단

이 9칸 매트릭스는 N2SF 시행 이후 공공기관 보안 아키텍처의 기본 뼈대가 된다. 시큐레터 4종 제품군(SLF · SLE · SLCDR · ConTI)은 이 매트릭스의 8개 칸을 직접 커버하고, ConTI가 전체 채널의 위협 인텔리전스를 공급한다.

9 기존 망분리 → N2SF 전환 로드맵 (2025-2028)

국정원·행안부·KISA가 공동 제시하는 전환 일정은 4단계 3년 로드맵이다.

2025.9 ~ 2026.4 · 공표 및 준비

N2SF 1.0 가이드라인 확정 · 기관별 준비

2025.9.9 공표. 분류 기준 수립, 라벨링 체계 설계, 게이트웨이 인프라 사전 조달. 시범 적용 기관 20여 곳 선정(중앙부처 + 광역지자체 + 공공기관 혼합).

분류 기준 문서화

2026.5 ~ 2026.12 · 정식 시행 1기

중앙부처 및 광역지자체 우선 적용

중앙부처 18개, 광역지자체 17개, 1급 공공기관 순차 적용. S등급 CDR 게이트웨이 배치, 분류 라벨링 업무 시스템 통합. 국정원 점검 개시.

S등급 인프라 배치

2027 · 정식 시행 2기

기초지자체 · 2급 공공기관 · 지방공기업 확대

전국 229개 기초지자체와 2~3급 공공기관 적용. 예산 확보 지연 기관 대상 유예 조치(최대 1년). CSAP 등급 연계 클라우드 사업 전면 시행.

전국 확대

2028 · 고도화 및 2.0

AI 자동 분류 · Zero Trust 연계 · N2SF 2.0

분류 자동화(AI/LLM 기반) 도입, Zero Trust Architecture 연계, 데이터 레이크 기반 감사 분석 고도화. N2SF 2.0 초안 공개 예정.

차세대 표준

10 해외 3-tier 분류 비교 — 미국·영국·NATO

한국 N2SF의 C·S·O는 국제 표준과 정합한 설계다. 주요 국가·국제기구의 정보 분류 체계와 비교한다.

체계	저등급	중등급	고등급	최고등급
🇰🇷 한국 N2SF	O (Open)	S (Sensitive)	C (Classified)	—
🇺🇸 US FIPS 199^[5]	Low	Moderate	High	—
🇺🇸 US CUI / TLP^[10]	TLP:CLEAR	TLP:GREEN / CUI	TLP:AMBER	TLP:RED
🇬🇧 UK GSC^[6]	OFFICIAL	OFFICIAL-SENSITIVE	SECRET	TOP SECRET
🌐 NATO CMCM^[11]	NATO UNCLASSIFIED	NATO RESTRICTED	NATO CONFIDENTIAL	NATO SECRET / COSMIC TOP SECRET
🇪🇺 EU Commission	LIMITÉ	RESTREINT UE	CONFIDENTIEL UE	SECRET UE / TRÈS SECRET UE

미국 FIPS 199 / TLP

FIPS 199는 정보의 기밀성·무결성·가용성 3축에 Low/Moderate/High 영향도를 평가해 최고값으로 등급을 확정한다^[5]. NIST SP 800-60이 정보 유형별 매핑 카탈로그를 제공한다^[8]. 한국 N2SF의 C·S·O는 FIPS 199의 High·Moderate·Low와 구조적으로 대응된다. CISA의 TLP 2.0(CLEAR/GREEN/AMBER/RED)^[10]은 정적 분류가 아닌 "공유 범위 태깅"이라는 점에서 N2SF와 성격이 다르다.

영국 GSC · NATO CMCM

영국 Government Security Classifications는 OFFICIAL · SECRET · TOP SECRET 3단계, OFFICIAL 내부에 OFFICIAL-SENSITIVE를 둔 실질 4단계^[6]. 한국 N2SF의 O·S·C가 OFFICIAL·OFFICIAL-SENSITIVE·SECRET과 거의 1:1 대응되며, 2014년 개정 GSC는 N2SF 설계의 주요 참조 모델로 알려져 있다. NATO C-M(2002)49 / CMCM은 UNCLASSIFIED · RESTRICTED · CONFIDENTIAL · SECRET · COSMIC TOP SECRET 5단계^[11]로, C등급 내부 세분화 논의의 참조 기준이다.

✅ 국제 상호운용성의 실무 의미

한미 공동 프로그램·국제 입찰·해외 파견 업무가 있는 공공기관은 자국 N2SF 등급과 상대국 분류(FIPS 199 · GSC · NATO) 사이의 매핑 테이블을 작성해 두어야 한다. 예: 미군과 공동 작성한 문서가 CUI로 분류된 경우 한국 측에서는 S등급으로 수용. 매핑 문서화 자체가 N2SF 심사 가점 요소가 된다.

11 예산 · 일정 산정 방법

공공기관이 2026년 5월 시행 전까지 준비해야 할 예산 구성은 크게 5개 항목이다. 규모는 기관 유형·데이터 체적에 따라 다르지만 참조 구성비를 제시한다.

예산 항목	참조 비중	조달 방식
분류 체계 컨설팅 + 거버넌스 수립	10-15%	서비스 계약(용역)
파일 게이트웨이 · 이메일 · 웹 CDR 인프라	35-45%	나라장터 일반 경쟁
DLP · AI 자동 분류 · 라벨링 시스템	15-20%	혁신제품 수의 가능
감사 로그 · SIEM 연계	10-15%	기존 자산 확장
교육 · 훈련 · 운영 첫해 유지보수	10-15%	연간 계약

조달 타임라인 (시행 역산)

T-12개월(2025.5): 현황 진단 + 분류 기준 초안
T-9개월(2025.8): RFP 기술 사양 확정
T-6개월(2025.11): 나라장터 공고 · BMT
T-3개월(2026.2): 계약 · 구축 착수
T-1개월(2026.4): 시범 운영 · 교육
T0(2026.5): 정식 시행

나라장터 RFP 관찰 패턴

2025년 하반기부터 나라장터에는 "N2SF 대응 파일 무해화 시스템 구축" 관련 공고가 본격 등장했다. 전형적 RFP 사양은 ① 지원 포맷 200종 이상, ② 단일 파일 처리 50ms 이하, ③ KISA·TTA 검증, ④ BMT 의무. 시큐레터 SLCDR은 309종 포맷·34ms·KISA 100% 탐지율·TTA 12.027초(통합 메일 분석) 검증으로 이 사양을 전부 충족한다^[7]^[9].

12 매트릭스 — C/S/O 요구사항 상세

통제 영역	O (Open)	S (Sensitive)	C (Classified)
외부 반입	허용	조건부(CDR)	원칙 금지
외부 반출	허용	DLP + 승인	기관장 승인
CDR 적용	선택적	필수	최대 + Reverse
접근 권한	일반	업무 기반 RBAC	최소화 + 2FA
감사 로그	샘플링	100%	100% · 5년
암호화	권장	필수(KISA 검증)	KCMVP 강제
외부 클라우드	CSAP 하 허용	CSAP 중 + 승인	불가(CSAP 상 전용)
매체 반입	스캔 허용	키오스크 경유	금지(봉인 예외)
이메일 수신	허용	CDR + sanitize	외부 메일 차단
웹 업로드	AV + 필터	CDR + 승인	외부 웹 차단
라벨 상향(Upward)	→ S: CDR 후 자동	→ C: 승인 + 격리	—
라벨 하향(Downward)	—	→ O: DLP + 마스킹	→ S/O: 재분류 심사 + Reverse CDR

13 4종 제품 적용 매트릭스

시큐레터 4종 제품군이 C·S·O 각 등급에 어떻게 적용되는지 정리한다.

제품	역할	O 적용	S 적용	C 적용
SLF 파일 보안	게이트웨이 · 망연계 자료전송	AV + 선택적 CDR	핵심 · 표준 CDR + 라벨 검증	키오스크 경유 + 최대 강도 CDR + 격리 관찰
SLE 이메일 보안 (DISARM)	외부·내부 이메일 첨부 무해화	AV + 스팸 필터	핵심 · CDR + 링크 sanitize + DMARC	외부 메일 차단(내부망 C에만 해당)
SLCDR 웹 콘텐츠 CDR	웹 업로드·SaaS·포털 첨부	AV + 확장자 필터	핵심 · 업로드 CDR + DLP 연계	외부 웹 차단 환경
ConTI 위협 인텔리전스	전 채널 위협 IoC 공급	기본 IoC 피드	확장 IoC + 한국 특화 캠페인	국가 위협 · APT 상세 인텔

✅ 4종 제품 연결의 의미

N2SF는 단일 제품이 아닌 채널 × 등급 매트릭스의 통합 운영을 요구한다. SLF(파일)·SLE(이메일)·SLCDR(웹) 3종이 각 채널을 커버하고, ConTI가 공통 위협 인텔을 공급한다. MARS 엔진 기반 리버스 엔지니어링 분석이 네 제품 전체에 내장되어 있어, 시그니처 기반 AV로는 탐지 불가능한 비실행형 분석을 수행한다. 이 구조가 N2SF 260여 통제항목의 다수를 구조적으로 충족한다.

14 CSAP 등급별(상·중·하) N2SF 연계

N2SF가 내부 정보 분류 체계라면, CSAP(Cloud Security Assurance Program)는 외부 클라우드 서비스의 검증 체계다. 두 체계는 2025년 개정으로 긴밀히 연계됐다.

CSAP 등급	대응 N2SF 등급	허용 공공 영역	대표 적용
상	C(일부 예외적) · S	국가안보 직접 관련 제외 중앙부처·1급 공공기관	전용 망(G-Cloud)·국가정보자원관리원
중	S	광역지자체·2급 공공기관·개인정보 처리 기관	KT·네이버·NHN 공공 클라우드
하	O	기초지자체·공개 서비스·대민 포털	민간 상용 클라우드(국내 리전)

공공기관 클라우드 도입 시 N2SF 등급 → CSAP 등급 → 서비스 선택 순서로 의사결정이 이뤄져야 한다. S등급 데이터를 CSAP 하 등급 클라우드에 저장하면 N2SF 위반이며, 반대로 O등급 데이터를 CSAP 상 등급에만 저장하는 것은 예산 낭비다.

15 자주 묻는 질문 (FAQ)

Q1. 분류 기준은 누가 정하나요?

국가정보원 N2SF 가이드라인이 일반 기준을 제시하되, 개별 기관이 업무 특성에 맞춰 세부 기준을 수립·문서화한다^[1]. 같은 문서라도 외교부에서는 C, 문체부에서는 S일 수 있다. 분류 기준 문서 자체가 N2SF 심사의 출발점 평가 항목이다.

Q2. 복수 등급 정보가 한 파일에 섞이면 어떻게 하나요?

가장 높은 등급이 전체 파일에 적용된다. S 1건 + O 99건 = 전체 S. 이 특성 때문에 실무에서는 작성자가 등급별 문서 분리를 적극 권장받는다. 자동 분할 도구(DLP + AI 분류)가 보조.

Q3. 기존 공공기관 망분리 장비를 버려야 하나요?

버릴 필요 없다. N2SF는 "망분리 폐지가 아닌 고도화"다^[2]. 기존 망연계 장비 앞뒤에 등급 라벨 검증·CDR·DLP가 추가되는 구조. C등급 영역은 여전히 물리 분리 유지. 기존 자산 활용 + 신규 인프라 증설이 현실적 경로다.

Q4. 중소 공공기관은 시행일 준수가 가능한가요?

광역지자체·1급 공공기관은 2026.5 정식 시행 대상. 기초지자체·2~3급 공공기관은 2027년까지 단계적 적용이 명시됐다. 예산·조달 지연 시 최대 1년 유예 조치. 다만 유예 기간도 분류 기준·라벨링 체계 수립은 우선 진행해야 한다.

Q5. CDR 솔루션은 등급별로 달라야 하나요?

엔진은 동일해도 정책이 등급별로 분리되어야 한다. O는 실행 요소만 제거(가독성 우선), S는 표준 강도(매크로·OLE·JSE·외부 참조 제거), C는 최대 강도 + Reverse CDR. 시큐레터 SLCDR은 단일 엔진에서 정책 분리 운영이 가능하므로 기관당 1개 제품으로 3등급 대응이 가능하다.

Q6. 해외 파트너와 주고받는 문서는 어떤 등급인가요?

파트너 측 분류와 자국 분류의 매핑 테이블로 결정. 예: 미군 CUI → 한국 S, 영국 OFFICIAL-SENSITIVE → 한국 S, NATO RESTRICTED → 한국 S 상단. 매핑 문서를 기관 정책으로 사전 확정하고 감사 시 제시 가능하게 준비해야 한다.

Q7. 분류 자동화는 어느 수준까지 가능한가요?

2026년 시점에서 키워드·패턴 기반 DLP는 완전 자동, AI 문맥 분류는 작성자 보조 수준. LLM 기반 분류는 오분류·프라이버시 이슈로 C등급에는 미적용. 2028년 N2SF 2.0에서 AI 자동 분류 표준이 공식화될 예정.

Q8. 제로데이 취약점 대응은 N2SF에서 어떻게 다뤄지나요?

N2SF 통제항목은 패치 관리·취약점 점검을 요구하지만, 패치 전까지의 공백은 CDR로 구조적 방어하는 것이 표준이다. 2026.2 CVE-2025-29867(Hancom 全라인) 같은 사례에서 보듯, 제로데이는 시그니처 탐지가 불가능하므로 실행 가능 콘텐츠를 구조적으로 제거하는 CDR이 S등급 흐름의 유일한 구조적 방어다.

✓ 결론 — 2026.5까지 90일, 준비의 핵심은 분류

N2SF 1.0의 3등급 C·S·O는 단순히 라벨 체계가 아니다. 한국 공공 보안이 "물리 분리 중심"에서 "데이터 민감도 중심"으로 이동하는 패러다임 전환이며, 국제 표준(FIPS 199 · GSC · NATO)과 정합한 설계다. 2025년 9월 공표, 2026년 5월 정식 시행까지 남은 시간은 약 90일.

공공기관이 이 기간 동안 반드시 완료해야 할 세 가지 — ① 분류 기준 문서화 · ② 채널×등급 매트릭스 인프라(파일·이메일·웹 × C·S·O) · ③ CDR 차등 정책 설계. 이 중 ②·③은 기술 조달 영역이고, ①은 거버넌스 영역이다. 조달보다 거버넌스가 병목이 될 가능성이 높다. 분류 기준이 확정되지 않으면 아무리 좋은 인프라를 도입해도 정책 설계가 공중에 뜬다.

시큐레터는 MARS 엔진 기반 4종 제품(SLF·SLE·SLCDR·ConTI)으로 N2SF 채널×등급 매트릭스의 8/9칸을 직접 커버하며, 309종 포맷 지원·34ms 처리·KISA 100% 탐지율 인증^[7]^[9]으로 S등급 흐름 통제의 현실적 품질을 제공한다. 공공기관 담당자의 남은 90일을 성공으로 이끌기 위한 PoC·BMT·컨설팅 지원을 준비해 두었다.

N2SF 2026.5 시행 대응 진단

귀 기관의 업무 특성 기반 C·S·O 분류 가이드라인 · 채널×등급 매트릭스 설계 · 등급별 CDR 정책 초안 · 조달 RFP 사양 자문 · PoC와 BMT까지 통합 지원합니다.

N2SF 대응 진단 신청 → 중앙부처 · 광역지자체 · 공공기관 · 지방공기업 · 국립연구기관 맞춤

REFERENCES

국가사이버안보센터(NCSC), 국가 망 보안체계(N2SF) 보안 가이드라인, 2025 — ncsc.go.kr.
연합뉴스, 국정원, 망분리 폐지 아닌 고도화…N2SF 보안체계 2026.5 시행, 2026.04.17 — yna.co.kr.
ZDNet Korea, 국정원 보안 통제 항목 176→260여개로…N2SF 정식 지침 공표, 2025.09.09 — zdnet.co.kr.
보안뉴스, 국정원 N²SF 가이드라인 발표 — 기밀·민감·공개 3등급 + 보안통제 차등 적용 — boannews.com.
NIST / FIPS 199, Standards for Security Categorization of Federal Information and Information Systems, 2004 — nvlpubs.nist.gov.
UK Cabinet Office, Government Security Classifications Policy (GSC), 2023 — gov.uk.
SecuLetter Inc., DISARM Solution Introduction KO · Ensecure v2 자료집, 2025.
NIST SP 800-60 Vol.1 Rev.1, Guide for Mapping Types of Information and Information Systems to Security Categories — csrc.nist.gov.
SecuLetter Inc., SecuLetter at a Glance (Ensecure v2) — KISA 100% 탐지율 · TTA 12.027s · Gartner 40 vendors, 2025.12.17.
CISA, Traffic Light Protocol (TLP) 2.0 Usage Guidance — cisa.gov.
NATO Office of Security, C-M(2002)49 Security within the North Atlantic Treaty Organisation — 공개 요약: nato.int.
KISA, N2SF 실증 사례집, 2026.04 — kisa.or.kr.
행정안전부, 국가기관 정보보안 기본지침 개정안, 2025 — mois.go.kr.
디지털플랫폼정부위원회, 공공부문 망분리 개선 로드맵, 2024 — dpg.go.kr.
과학기술정보통신부 · KISA, CSAP 클라우드 보안 인증 고시 개정, 2025 — isms.kisa.or.kr.
개인정보보호위원회, 공공기관 개인정보보호 수준평가 기준, 2025 — pipc.go.kr.
보안뉴스, N2SF 170→260 통제항목 고도화 분석 — boannews.com.
나라장터(조달청), N2SF 대응 파일 무해화 시스템 공고 샘플, 2025 하반기 — g2b.go.kr.
NIST SP 800-53 Rev.5, Security and Privacy Controls for Information Systems and Organizations — csrc.nist.gov.
US National Archives, Controlled Unclassified Information (CUI) Program — archives.gov.
EU Council, Council Decision 2013/488/EU on the security rules for protecting EU classified information — eur-lex.europa.eu.
감사원, 공공기관 개인정보 관리실태 감사결과, 2025 — bai.go.kr.
SecuLetter Inc., MARS Platform — Reverse Engineering-based File Security Technology — seculetter.com.

공공·등급 분류 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청