N²SF C/S/O 등급 자가분류 5분 가이드

1. 왜 자가분류가 필요한가

국가 망 보안체계(N²SF)는 기관이 업무정보의 중요도에 따라 보안통제를 차등 적용하는 프레임워크다. 통제 항목을 선택하기 전에 반드시 C(기밀) · S(민감) · O(공개) 등급을 확정해야 한다. 등급이 잘못 설정되면 이후 위협식별·보안대책 수립·적절성 평가 전 단계가 부정확해지고, 국가정보원 보안성 검토 신청 자체가 지연된다.

N²SF 5단계 절차 중 ➋ C/S/O 등급분류는 나머지 네 단계의 기초 데이터를 공급한다.

국가 망 보안체계는 각급기관의 정보화사업에 대한 자체 보안대책을 수립하는 데 활용하며 ➊준비, ➋C/S/O 등급분류, ➌위협식별, ➍보안대책 수립, ➎적절성 평가·조정의 5단계 절차로 수행한다. (N²SF 가이드라인 v1.0 본문 §2)

본 가이드는 정식 등급분류 작업을 시작하기 전, 담당자가 스스로 초안을 잡을 수 있도록 설계되었다. 자가분류 결과는 이후 정식 적절성 평가의 입력값이 된다.

---

2. C(기밀) 등급 — 정보공개법 §9 제1호~제4호

기밀정보(C)는 공개 시 국가안보 또는 국민 생명·신체에 직접적 위협이 되는 정보다. 「정보공개법」 제9조 비공개 대상 정보 제1호부터 제4호에 해당한다.

호	내용
제1호	다른 법률에 따라 비밀 또는 비공개로 규정된 정보
제2호	국가안보·국방·통일·외교 관련 정보로서 공개 시 국익을 해칠 우려가 있는 것
제3호	공개 시 수사·형사 사건 재판에 지장을 줄 우려가 있는 정보
제4호	공개 시 생명·신체·재산 보호에 현저한 지장을 줄 우려가 있는 정보

C등급 업무정보 예시 5개:

1. 현용 암호체계 운영 절차서 및 키 관리 문서
2. 재외공관 보안통신망 구성도 및 접근 인증정보
3. 진행 중인 대공수사 피의자 인적사항 및 동선 정보
4. 국방 핵심기술 R&D 프로젝트 세부 설계 도면
5. 생물·화학 위협 대응 매뉴얼 (공개 시 악용 가능)

---

3. S(민감) 등급 — 정보공개법 §9 제5호~제8호 + 시스템 로그·임시백업

민감정보(S)는 공개 시 개인이나 국가 이익이 침해될 우려가 있는 정보다. 제5호부터 제8호와 함께, 가이드라인은 시스템 로그·임시백업을 S등급에 명시적으로 포함한다.

호/유형	내용
제5호	감사·감독·검사·시험·입찰·계약·기술개발에 관한 내부 검토 자료
제6호	개인 사생활 침해·개인정보 해당 정보
제7호	법인·단체의 경영상·영업상 비밀에 관한 정보
제8호	특정인에게 이익·불이익을 줄 우려가 있는 정보
기타	시스템 로그, 감사로그, 임시백업 파일

민감정보(S)는 공개 시 개인·국가 이익 침해가 우려되는 정보로서 「정보공개법」 제9조의 제5호~제8호에 해당하는 정보 및 시스템 로그, 임시백업 등의 기타 정보를 포함한다. (N²SF 가이드라인 v1.0 본문 §2)

S등급 업무정보 예시 5개:

1. 공무원 인사기록 카드 및 성과평가 자료
2. 정보화사업 제안요청서(RFP) 검토 평가표 (입찰 전)
3. 기관 내부망 시스템 접속 로그 (IP, 계정, 타임스탬프)
4. 공공기관 외주업체와 체결한 용역계약서 원본
5. 개인 민원처리 기록 (주민등록번호, 주소 포함)

---

4. O(공개) 등급 — 정의와 예시

공개정보(O)는 기밀정보(C) 및 민감정보(S) 이외의 모든 정보가 해당된다. 또한 관련 법령에 규정된 정보 공개 요건을 충족한 비공개 정보와 기간의 경과 등으로 비공개 필요성이 소멸된 정보도 공개정보(O) 등급으로 분류한다. (N²SF 가이드라인 v1.0 본문 §2)

O등급 업무정보 예시:

• 공공데이터포털에 이미 게시된 통계자료
• 기관 조직도 및 연락처 (홈페이지 게재용)
• 예산 및 결산 공시 자료
• 입법·정책 관련 공청회 자료집

O등급이라도 SaaS 외부 전송 시에는 정보흐름 통제(N2SF-IF-14)를 적용해야 한다. O등급 데이터가 S등급 정보시스템에서 생성된 경우, 흐름 통제 없이 외부로 나가는 것 자체가 위협 시나리오가 된다.

---

5. 복수 등급 혼재 시 상위 승계 규칙

하나의 정보시스템이 서로 다른 등급의 업무정보를 처리할 때는 가장 높은 등급이 해당 시스템의 등급이 된다.

혼재 조합	결정 등급	근거
S + O	S	상위 등급 우선
C + S	C	상위 등급 우선
C + O	C	상위 등급 우선
C + S + O	C	상위 등급 우선

다만, 하나의 정보시스템에 서로 다른 등급의 업무정보가 포함되는 경우에는 가장 높은 등급을 해당 정보시스템의 등급으로 분류한다. (N²SF 가이드라인 v1.0 본문 §2, 표 2-9 참조)

실무 권고: 낮은 등급 정보에 높은 등급 수준의 보안통제가 과도하게 적용되어 공공정보 활용이 제한될 수 있다. 가이드라인은 동일 등급별로 정보시스템을 분리·운영할 것을 권고한다. VDI 환경에서는 세션 격리 또는 가상 데스크톱 풀 분리가 이에 해당한다.

---

6. 자가분류 절차 3단계

가이드라인은 업무정보 → 정보시스템 → 위치 순서로 분류할 것을 명시한다.

➊ 업무정보 분류: 각급기관의 업무에 이용되는 업무정보를 C/S/O 등급으로 분류한다. ➋ 정보시스템 분류: 업무정보의 등급을 기반으로 해당 정보를 처리하는 정보시스템의 C/S/O 등급을 결정한다. ➌ 위치 분류: 정보시스템의 물리적·논리적 위치에 따라 정보시스템의 C/S/O 등급정보와 연계하여 등급분류를 수행한다. (N²SF 가이드라인 v1.0 본문 §2, 등급분류 절차)

단계별 체크포인트:

➊ 업무정보 분류

• 기관 BRM(업무참조모델) 또는 부서별 업무목록을 기준으로 주요 업무정보를 열거한다.
• 각 정보에 대해 정보공개법 §9 해당 호를 확인한다.
• C·S·O 판정이 불명확한 경우, 공개 시 발생할 수 있는 손해의 크기를 기준으로 판단한다.

➋ 정보시스템 분류

• 해당 업무정보를 생성·저장·처리하는 정보시스템을 식별한다.
• 복수 등급 혼재 시 상위 등급으로 승계한다.
• VDI 서버, 가상 데스크톱 세션, 스토리지를 각각 별도로 판정한다.

➌ 위치 분류

• 인터넷 영역 → O등급, 업무 영역 → S등급, 기밀 취급 특수 환경 → C등급이 원칙이다.
• 클라우드·SaaS 연계 지점은 위치 등급 판정에 특히 주의한다.

---

7. FAQ

Q1. 시스템 운영 로그는 반드시 S등급인가?

A. 가이드라인은 시스템 로그와 임시백업을 S등급에 명시적으로 포함한다. 접속 IP, 계정명, 타임스탬프가 담긴 로그는 개인정보 및 시스템 구성 정보를 노출할 수 있으므로 O등급으로 하향 분류하지 않는 것이 원칙이다.

Q2. 이미 홈페이지에 공개된 정보도 O등급 분류 절차를 거쳐야 하는가?

A. 공개 게시 이력이 있더라도 등급분류 절차를 생략하면 안 된다. 관련 법령에 규정된 공개 요건을 공식 확인하고, 결과를 문서로 남겨야 적절성 평가를 통과할 수 있다.

Q3. S등급 시스템에서 O등급 파일을 외부 SaaS로 전송해도 되는가?

A. 파일 자체가 O등급이라도 S등급 시스템에서 생성·저장된 데이터는 정보흐름 통제(N2SF-IF-14 보안등급기반 흐름 통제)를 적용해야 한다. 미흡 시 모델 3(외부 SaaS 협업) 시나리오에서 고위험으로 분류된다.

Q4. 복수 등급 혼재 시스템은 반드시 분리해야 하는가?

A. 분리는 강제 사항이 아닌 권고 사항이다. 단, 분리하지 않을 경우 상위 등급 통제를 전체에 적용해야 하며, 이로 인한 O등급 정보 활용 제약을 적절성 평가 보고서에 기재해야 한다.

Q5. 자가분류 결과가 최종 등급으로 확정되는가?

A. 자가분류는 내부 초안이다. N²SF 5단계 중 ➎ 적절성 평가·조정 단계에서 검토·확정되며, 이후 국가정보원 보안성 검토 요청 시 등급분류 산출물을 제출한다. 본 진단 도구의 점수는 적절성 평가 사전 준비도 지표로 활용하기 위한 것이며, 보안성 검토 결과를 대체하지 않는다.