ANALYSIS REPORT 2026-04-04
N2SF × AI
적절성 분석 보고서
국가 망 보안체계(N2SF) 가이드라인 1.0이 LLM API, AI Agent, Auto Browsing, MCP, A2A 등 최신 AI 기법을 안전하게 수용할 수 있는지 평가하고, 구조적 공백과 개선방안을 도출한 종합 분석 보고서
0
충돌 지점
0
보안 공백
0
보안통제 소항목
0
신규 통제 필요
Section 01
EXECUTIVE SUMMARY
N2SF 1.0은 AI를 "외부 생성형 AI 서비스에 O등급(공개) 정보로 질의하는 것"으로만 상정한다. 그러나 현실의 AI 활용은 AI Agent의 자율적 도구 호출, MCP를 통한 내부 시스템 연동, A2A 프로토콜을 통한 에이전트 간 협업 등 훨씬 복잡한 패턴으로 진화하고 있다.
3대 구조적 공백
01
기계(AI) 인증 체계 부재
인증 체계가 전적으로 인간 사용자(지식/소유/생체) 기반이며, AI Agent·MCP·A2A의 기계 간 인증 전용 통제가 없음
02
AI 콘텐츠 등급 분류 부재
AI 출력물의 C/S/O 등급을 자동 판별·태깅하는 체계가 없어 "정보 생산·저장/이동" 보안원칙 적용이 불가
03
정적 모델의 한계
위치-주체-객체 모델이 AI Agent의 동적 다중 시스템 접근, MCP 체인 구조, A2A P2P 통신을 표현할 수 없음
교차분석 결과, 30개 교차점 중 충돌 12개(40%), 공백 9개(30%)로 N2SF 1.0은 최신 AI 기법 수용에 상당한 보완이 필요합니다.
Section 02
N2SF 프레임워크 분석
C/S/O 등급체계
| 등급 | 명칭 | 정의 |
|---|---|---|
| C | 기밀 (Classified) | 비밀, 안보·국방·외교·수사 등 국민 생명·안전과 직결된 정보 |
| S | 민감 (Sensitive) | 공개 시 개인·국가 이익 침해가 우려되는 비공개 정보 |
| O | 공개 (Open) | C/S 이외의 모든 정보 |
AI 서비스 등급 배치
| AI 서비스 유형 | N2SF 등급 | 근거 |
|---|---|---|
| 외부 생성형 AI (ChatGPT, Claude 등) | O등급 | 인터넷 영역 외부 서비스 |
| 범정부 초거대 AI (PPP Zone) | S등급 | 정부전산망 내 보호 영역 |
| 기관 내부 AI 모델 | 미정의 | 배치 위치에 따라 S/C 가능하나 기준 없음 |
| MCP 서비스 | O등급 | 모델5에서 외부 서비스로 분류 |
| AI Agent | 미정의 | N2SF에 미상정 |
AI 서비스를 무조건 "O등급 외부 서비스"로 분류하면, S등급 업무정보의 AI 활용이 "정보 이동" 원칙에 의해 원천 차단됩니다.
보안통제 항목 체계 (237개 소항목)
| 대항목 | 중항목 | 소항목 | AI 충돌 |
|---|---|---|---|
| 권한 | 4 | 37 | 중간 |
| 인증 | 7 | 57 | 높음 |
| 분리 및 격리 | 2 | 19 | 중간 |
| 통제 | 7 | 88 | 매우 높음 |
| 데이터 | 4 | 26 | 높음 |
| 정보자산 | 3 | 46 | 낮음 |
정보서비스 모델의 AI 시나리오
| 모델 | AI 시나리오 | 보안위협 | AI 특유 위협 |
|---|---|---|---|
| 모델2 | 업무환경에서 생성형 AI 활용 | 21개 | 0개 |
| 모델5 | 공공 데이터의 외부 AI 융합 | 41개 | 0개 |
| 모델6 | 연구 목적 단말의 신기술 활용 | 17개 | 0개 |
총 79개 보안위협 중 AI 특유 위협(프롬프트 인젝션, 환각, 과잉 권한 등)은 단 하나도 없습니다.
Section 03
AI 기법별 N2SF 적용 분석
LLM API 호출
MEDIUM
N2SF 상정: 부분적
업무 단말에서 외부 LLM API로 프롬프트 전송, 응답 수신. 모델2의 AI 연계체계가 중계.
- IF-14: S등급 정보의 O등급 LLM 전송 자동 차단 불가
- IF-2: TLS 암호화 통신 → 내용 확인 불가 → 흐름 차단 대상
- 프롬프트 인젝션 방어 통제 항목 없음
- AI 응답물의 등급 결정 기준 미정의
AI Agent
CRITICAL
N2SF 상정: 미상정
AI가 도구 호출, 파일 R/W, 코드 실행 등 자율적 행동 수행. N2SF는 이를 전혀 고려하지 않음.
- 위치-주체-객체 모델 붕괴 — 동적 다중 접근
- "사용자" 정의 붕괴 — Agent의 사용자는 누구?
- 인증 3요소(지식/소유/생체) 모두 인간 전용
- RA-7: 사전 등록 명령과 자율 명령 생성 충돌
- 권한 에스컬레이션, 시맨틱 권한 상승 위협 미반영
Auto Browsing
HIGH
N2SF 상정: 부분적
AI가 웹 브라우저를 자율 제어. 모델5에서 범정부 초거대 AI 내부 오토 브라우징만 언급.
- EB-3: 화이트리스트 통신과 근본 충돌 — URL 사전 특정 불가
- 웹 프롬프트 인젝션 via 숨겨진 텍스트
- 수집 정보의 C/S/O 등급 자동 판별 부재
- 화면 캡처 데이터의 정보 이동 통제 미정의
MCP
HIGH~CRIT
N2SF 상정: 부분적
AI 모델이 외부 도구/데이터 소스에 표준 프로토콜로 연결. 모델5에서 O등급 외부 서비스로만 분류.
- MCP의 핵심(내부 도구 접근) 미반영
- 크로스도메인 데이터 전이 — 보안 경계 우회
- 도구 오염(Tool Poisoning) 통제 부재
- 러그풀 공격 방지 메커니즘 없음
- 공개 MCP 서버 43% 명령 인젝션 결함
A2A Protocol
CRITICAL
N2SF 상정: 미상정
여러 AI 에이전트가 상호 통신하며 작업 분담/협업. N2SF에 관련 시나리오 전무.
- 정보 유출 경로 폭발적 증가
- 에이전트 간 P2P 통신이 격리 원칙과 충돌
- 에이전트 신원 인증 체계 전무
- 위임 체인 통제 불가 — A→B→C 추적 불가
- Agent Card 변조, 위장 에이전트 대응 부재
Section 04
교차분석 매트릭스
5대 AI 기법 × N2SF 6대 보안통제 대항목 = 30개 교차점 분석
충돌 (Conflict)
공백 (Gap)
부분적용 (Partial)
적절 (Adequate)
LLM API
AI Agent
Auto Browse
MCP
A2A
권한
부분적용
충돌
부분적용
충돌
공백
인증
부분적용
공백
부분적용
충돌
공백
분리·격리
적절
충돌
부분적용
부분적용
충돌
통제
충돌
충돌
충돌
충돌
공백
데이터
충돌
충돌
공백
공백
공백
정보자산
적절
부분적용
적절
공백
공백
30
교차점
충돌 (Conflict)12 (40%)
공백 (Gap)9 (30%)
부분적용 (Partial)6 (20%)
적절 (Adequate)3 (10%)
Section 05
핵심 문제점
1 "AI = 외부 웹 서비스" 전제의 한계
N2SF는 AI를 "인터넷 영역의 O등급 외부 서비스에 사용자가 브라우저로 질의하는 것"으로만 상정합니다.
| 현재 모델 | AI 현실 |
|---|---|
| 주체→객체 단일 방향 | Agent가 복수 객체에 동적 접근 |
| 사전에 관계 확정 | 실행 시점에 접근 대상 결정 |
| AI는 항상 "객체" | AI Agent는 "주체"이기도 함 |
| 2자 관계 | MCP 체인(3자+), A2A P2P(다자) |
2 전통적 위협 모델에 한정
| N2SF가 다루는 위협 | N2SF가 다루지 않는 AI 특유 위협 |
|---|---|
| 비인가자 접근 | 프롬프트 인젝션 (직접/간접) |
| 데이터 유출 | AI 환각(Hallucination)에 의한 오판 |
| 악성코드 유입 | AI 과잉 권한 (Excessive Agency) |
| 계정 도용 | 도구/함수 남용 (Tool Misuse) |
| 취약점 노출 | 학습 데이터 오염 (Data Poisoning) |
| 네트워크 우회 | 모델 탈옥 (Jailbreak) |
3 기술적 문제
| # | 문제 | 심각도 |
|---|---|---|
| 1 | 프롬프트 내 C/S/O 등급 자동 판별 기술 부재 | 높음 |
| 2 | AI 응답물의 등급 자동 분류·태깅 기술 부재 | 높음 |
| 3 | API 기반 통신에 CDS 적용 방법 미정의 | 높음 |
| 4 | AI 모델 가중치의 "정보 저장" 해당 여부 미정의 | 중간 |
| 5 | MCP 도구 정의 무결성 검증 메커니즘 부재 | 높음 |
Section 06
개선 제안
로드맵
단기 — 6개월 내
가이드라인 해석 가이드 발간
- AI 활용 유형별 보안통제 적용 가이드
- 프롬프트 DLP(IF-6, IF-8) 적용 방법
- AI 응답 등급 판정 절차·기준
- AI 연계체계 구축 아키텍처 참조 모델
- C/S/O 등급별 AI 기법 허용 범위 명시
중기 — 1~2년
N2SF 2.0 보안통제 항목 보완 (9개 신규 영역)
- N2SF-AI-1: 프롬프트 인젝션 방어
- N2SF-AI-2: AI 행동 승인 체계 (HITL)
- N2SF-AI-3: 도구 접근 제어 정책
- N2SF-AI-4: 비정상 AI 행동 탐지
- N2SF-AI-5: MCP 도구 정의 무결성
- N2SF-AI-6: 에이전트 신원 인증 체계
- N2SF-AI-7: 위임 체인 통제
- N2SF-AI-8: 화면/DOM 데이터 통제
- N2SF-AI-9: AI 응답 검증
장기 — 2~3년
프레임워크 구조 개선
- 위치-주체-객체 모델 → 동적 행위 기반 모델 전환
- 제7장 "AI 보안" 대항목 신설
- AI 모델 자체의 등급 분류 기준 제정
- AI 생성 콘텐츠 자동 등급 태깅 기술 표준
- NIST AI RMF·OWASP LLM Top 10 내재화
C/S/O 등급별 AI 기법 허용 범위 제안
C
기밀 (Classified)
폐쇄망 — 외부 연동 원천 차단
S
민감 (Sensitive)
AI 연계체계 필수 경유 — O등급 정보 한정
O
공개 (Open)
조건부 전면 허용
Section 07
국제 비교
항목
N2SF 1.0
NIST AI RMF
OWASP LLM
EU AI Act
NIS 가이드북
프롬프트 인젝션
미명시
언급
#1 핵심
적대적 공격
포함
과도한 자율성
미상정
미언급
#8 핵심
인간 감독
포함
망분리 등급 체계
★ 핵심
미언급
미언급
미언급
미언급
MCP 보안
부분 언급
미언급
미언급
미언급
미언급
A2A 보안
미상정
예정
Agentic Top10
미언급
미언급
N2SF의 독자적 강점: 세계 유일의 망분리 기반 AI 보안 등급 체계. "정보 생산·저장/이동" 보안원칙을 AI에 적용한 구체적 모델. AI 연계체계 아키텍처 참조 모델 제시.
Section 08
결론
N2SF 1.0은 물리적 망분리에서 논리적 망분리로의 전환을 위한 중요한 첫 걸음이다. C/S/O 등급 체계와 2대 보안원칙은 AI 시대에도 유효한 근본 원칙이며, AI 연계체계를 통한 접근 통제 아키텍처는 실무에 즉시 적용 가능하다.
그러나 AI가 수동적 외부 서비스에서 자율적 내부 행위자로 진화하는 현실에서, N2SF는 다음 3가지를 시급히 보완해야 한다.
01
AI를 "주체"로 인식
AI Agent가 자율적으로 내부 시스템에 접근하고 도구를 호출하는 현실을 위치-주체-객체 모델에 반영
02
AI 특유 보안위협 내재화
프롬프트 인젝션, 과잉 권한, 도구 오염 등 전통적 네트워크 위협과 근본적으로 다른 AI 위협에 대한 전용 통제 신설
03
기계 인증 체계 구축
인간 중심 인증(지식/소유/생체)을 넘어 AI Agent·MCP 서버·A2A 에이전트를 위한 기계 간 인증 프레임워크 도입
N2SF 2.0은 "안전한 AI 활용"이 아닌 "안전한 에이전틱 AI 활용"을 목표로 설계되어야 한다.