[ET시론]N²SF 정책 가시화를 위한 가치 기반의 정보 등급화 방법

최근 생성형 인공지능(AI)과 클라우드 기반 업무환경의 변화가 빠르게 진행되면서 정보를 안전하게 보호하면서도 필요한 범위 내에서 적극적으로 정보를 활용할 수 있는 방안을 마련하는 것이 필수과제로 부각되고 있다.

국내 보안정책의 근간으로 자리 잡았던 망 분리 정책은 내부망과 인터넷망을 분리해 민감한 데이터를 일괄적으로 통제하고 보호하는 방식을 따라 상당한 보안 효과를 거두었다. 그러나 코로나19 이후 재택근무 확산, 클라우드 전환, 생성형 AI 모델의 데이터 학습 요구 등 정보통신기술(ICT) 환경이 급변하면서, 보안성과 업무 효율성을 동시에 만족시키는 데 한계가 드러났다. 특히 공공부문은 시스템을 중심으로 등급을 나누고, 공개 정보시스템을 제외한 대부분의 시스템을 일괄적으로 통제해 왔다. 이 과정에서 실제로는 활용 가능한 민감정보(Sensitive but Unclassified)까지 묶여 AI 모델 발전을 저해하고 비효율적인 업무 처리를 초래하는 문제가 발생하기도 했다.

이러한 문제의식을 바탕으로 국가정보기관은 최근 '국가 망 보안체계'(N²SF) 정책을 발표했다.

N²SF 정책은 기존 망 분리 정책을 완화하면서도 보안성을 동시에 확보하는 새로운 보안 체계를 지향한다. 핵심은 기존 시스템 단위의 정보 분류가 아니라, 정보 활용의 중요도 기준에 따라 기밀정보(C), 민감정보(S), 공개정보(O) 등으로 구분하는 것이다. 이를 통해 보안 통제를 차등 적용함으로써 보안성과 데이터 활용을 동시에 달성하고, 기존의 망 분리 환경에서 발생했던 업무의 불편함을 완화하며 공공 자원으로서 정보공유 경제를 활성화하는 것을 목표로 한다.

그러나 현장에서는 여전히 “무엇을 기준으로 어떻게 분류할 것인가”라는 근본적 난제가 남아있다. N²SF 정책이 실효성을 갖추기 위해서는 '보호 대상'과 '활용 대상'을 명확히 구분하는 기준이 필요하지만, 현재까지는 이를 뒷받침하는 세부적인 기준이 충분히 정립돼 있지 않은 어려움이 존재한다.

이 지점에서 주목해야 할 것이 바로 '가치 기반의 정보 등급화 방법'(Data Classification)이다. 이는 정보의 가치를 중요도와 활용 정도로 구분해 평가하고, 산출된 점수에 따라 등급을 부여하는 방식이다. 이 방법은 유사한 정보들을 속성에 따라 수평적으로 묶음화하는 일반적인 분류 방법과는 구별되는 방식으로, 명확한 기준 아래에 정보를 수직 계층적으로 분류하는 것을 의미한다.

단순히 정보의 유형을 정리하는 수준을 넘어, 정보 자원, 정보 품질, 정보 활용, 정보 유출 위험 등 정보에 관한 다양한 가치를 함께 고려하는 새로운 체계라 할 수 있다. 이러한 방식의 정보 등급화가 선행될 때 비로소 N²SF 정책이 추구하는 보안성과 활용성을 동시 달성할 수 있으며, 나아가 정보공개법·공공데이터법·개인정보보호법·산업기술보호법 등 관련 법·제도와의 정합성을 갖춘 실질적인 정보관리체계를 설계할 수 있다.

현재의 정보 분류에 관한 등급화 방법은 크게 사용자 중심(User-driven), 메타데이터 기반(Metadata-based), 내용 기반(Content-based) 등의 3가지로 정리될 수 있다.

첫째, 사용자 중심 분류 방식은 정보 생성자나 사용자가 기밀, 대외비, 공개 등의 등급을 직접 부여하는 방식이다. 조직마다 자체적으로 설계한 기준에 따라 작성자가 판단하는 방식이므로 직관적인 권한 설정 및 관리가 가능한 장점이 있다. 예를 들어, 극도로 민감한 정보에 대해 최고 경영자 또는 제한된 소수의 임원에게만 접근 권한을 부여하는 식의 세밀한 통제가 가능하다. 초기 도입 비용이 적고 프로세스가 단순해, 보안 예산이 상대적으로 적은 중소기업에서 적용하기 용이하지만, 정보의 양이 방대해지거나 비정형 정보가 증가할수록 사용자 업무량은 기하급수적으로 늘어나게 되며, 개인의 주관적 판단에 의존하기 때문에 분류 결과의 신뢰성을 담보하기 어렵다는 구조적 한계를 안고 있다.

둘째, 메타데이터 기반 분류 방식은 데이터의 내재적 내용이 아니라 이를 둘러싼 환경적 속성을 토대로 등급을 판별한다. 접근 주체(Role, User), 위치(Location), 장비 유형(Device) 등과 같이 정보를 다루는 주체와 환경, 네트워크를 통해 유입되는 정보 흐름, 그리고 사용자 행위(편집, 작성, 삭제, 이동 등)가 주요 판단 요소가 된다. 예를 들어, 조직의 임원이 사내망에서 작성한 문서는 '대외비'로, 인턴이 외부 클라우드에 올린 홍보 자료는 '공개'로 분류하는 식이다. 이 방식은 사용 행태 기반 통제에 강점을 지니나, 여전히 정보 자체의 의미와 맥락을 충분히 반영하지 못한다는 한계를 지닌다.

셋째, 내용 기반 분류 방식은 정보에 내재화된 의미와 맥락을 정량적으로 분석하여 등급을 부여하는 방식이다. 전통적으로는 주민등록번호나 카드번호 등과 같이 정형화된 유형을 참조하거나, 특정 키워드 및 부가 정보를 기준으로 분류하는 기법이 적용된다. 이때의 보조 정보는 파일명이나 요약문과 같이 정보에 대한 추가 설명을 의미한다. 예를 들어, 파일명에 '대외비'가 명시되어 있다면 기밀로 분류하고, 문서 생성 날짜가 1999년과 같이 오래된 특허문서라면 신규성이 낮다고 판단해 '공개' 등급으로 분류하는 식이다. 키워드 분석 기법으로는 기존 텍스트 분석에서 활용되던 핵심어 추출 알고리즘 등이 사용되며, 문서 내에 '대외비'와 같은 특정 단어가 포함되어 있는지를 기준으로 등급을 부여하는 전략이 대표적이다.

그러나 이러한 키워드 내용 중심의 방법은 복잡한 구조와 전문용어가 혼재된 비정형 텍스트에는 적용하기에는 한계성이 존재한다. 예를 들어 문서 내에서 가장 자주 등장하는 단어가 '공정'이라고 해서 이를 단순한 일반 용어로 판단하거나 공개 등급으로 취급한다면, 맥락에 따라서는 오분류되는 문제가 발생할 수 있다. 실제로는 단순 '공정'이 아닌 'AMOLED 관련 특수 공정 단계'를 의미하는 핵심 기술 정보를 내포해 기밀 등급으로 분류될 수 있기 때문이다. 이러한 한계성을 보완하기 위해 최근에는 텍스트 내 전후 문맥을 함께 반영한 자연어처리(NLP) 기반 모델이 제안되고 있다. 실제로 자연어처리 기반 모델을 활용해 학습한 결과, 문서 전반에 산재한 핵심 정보를 전체 문맥 속에서 종합적으로 판단함으로써 중요정보와 공개정보 간의 모호한 경계를 뚜렷하게 구분할 수 있음을 실험적으로 확인하고 있다.

정보망 또는 시스템 중심의 등급화 방식과 차별화된 의미 중심의 등급화 방식은 정보 자체에 내재 된 잠재적 가치를 극대화하고, 보호와 활용이 균형을 이루는 N²SF 정책의 실질적인 추진력을 확보함과 동시에, 다음과 같이 추가적인 효과를 기대할 수 있을 것으로 예측된다.

첫째, 클라우드 환경에서 경제적인 정보 관리 실현이 가능해진다. 둘째, AI 기반 모델의 효용성을 확보할 수 있다. 셋째, 국가전략기술, 국가핵심기술, 국가첨단전략산업기술 등과 같이 기술 수준의 정의에 기반한 지정 대상과 활용 범위가 명확해진다.

N²SF 정책의 가시화를 위해 형식적 구성이나 단편적 요소만을 기준으로 한 기존의 정보 등급화에서 벗어나, 정보 자체가 지닌 다양한 가치를 반영하는 새로운 등급화 방식은 대량의 복합 정보를 학습해야 하는 AI 시대에 필수적인 선행 조건으로 자리매김할 것으로 예상된다.

장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr

〈필자〉중앙대 산업보안학과 교수로 재직하면서, 중앙대 기획처장과 보안대학원장 직책을 수행하고 있다. 현재 과학기술정보통신부-정보통신기획평가원의 지원을 받는 융합보안핵심인재양성사업(디지털금융보안) 책임을 맡아, 비즈니스 보안 전문인력을 양성하고 있다. 또, 2019년부터 한국공학한림원 기술경영정책분과의 일반회원으로 활동하고 있다.