“아무 것도 믿지 말라” 제로트러스트보안 확산 본격화

과기정통부·KISA 제로트러스트 기본 모델 2종 발표
클라우드형·온프레미스형으로 마련…체크리스트도 개발

과학기술정보통신부와 한국인터넷진흥원(KISA)은 제로트러스트 보안 확산을 위해 국내 기업망 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’을 11일 발표했다.

제로트러스트 보안모델은 말 그대로 ‘아무도 믿지말라’는 원칙을 기본 전제로, 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다. 미국, 유럽 등에서는 다양화·지능화되는 사이버위협에 대응할 수 있는 보완 수단으로 제로트러스트 보안 모델을 앞다퉈 도입하고 있다.

과기정통부와 KISA는 지난 7월 ‘제로트러스트 가이드라인 1.0’을 마련해 발표했다. 가이드라인은 제로트러스트 기본 개념과 핵심 원칙, 접근 제어 원리 등이 담긴 ‘제로트러스트 보안 백서’다.

이번에 마련한 보안 모델은 ‘제로트러스트 가이드라인 1.0’에서 제시한 내용을 통신, 금융 등 국민 생활과 밀접한 분야 실제 기업망 환경에 적용·실증해 도출했다. 모델은 ▲클라우드형과 ▲구축형(On-Premise) 등 두 가지로, 업무 환경에 상관없이 제로트러스트 보안모델을 적용할 수 있도록 했다.

클라우드형은 서비스, 서버, 어플리케이션, 데이터 등을 각각 논리적으로 분리해 보호했고, 정책시행지점(PEP)이 탑재된 제로트러스트 전용 라우터를 세계 최초로 개발·적용했다. 아울러 구축형은 접속 요구자의 보안 수준을 점수화해 접속단계에서부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.

이와 더불어 과기정통부는 실증사업의 보안 효과성 검증을 위한 ‘침투시나리오·보안성 점검 체크리스트’를 개발·적용했다. 이를 통해 체계적인 제로트러스트 보안모델의 확산은 물론 제로트러스 보안성 검증체계를 발전시켜나갈 수 있는 기반을 마련했다.

홍진배 과기정통부 네트워크정책실장은 “전 세계 국가들이 제로트러스트 보안모델을 도입하기 위해 국가적 차원에서 노력하고 있고, 글로벌 기업들은 신시장을 선점하려고 경쟁하고 있다”고 말했다. 그러면서 “과기정통부는 향후 제로트러스트 성숙도 모델을 계속 발전시켜나가고, 국산 제로트러스트 보안모델의 성공적인 확산을 지원해 국가적인 차원의 사이버보안 수준을 한 단계 높이는 한편, 국내 기업의 체계적인 해외진출도 지원하겠다”고 말했다.

[서울=뉴시스]