정부 부처에서 새로운 보안 체계인 제로트러스트 도입에 앞서 가이드라인을 제시했다. 국내 기업과 서비스 환경에 최적화된 보안환경을 구축하기 위함이다.
과학기술정보통신부(이하 과기정통부)는 지난 7일 서울 중구 한국지능정보사회진흥원(NIA) 서울사무소에서 제로 트러스트 현장 간담회를 개최하고 ‘제로트러스트 가이드라인 1.0’을 발표했다.
과기정통부 박윤규 2차관과 홍진배 네트워크정책실장을 비롯해 제로 트러스트 실증·수요기업 및 관련 전문가 20여명이 참석했다.
이번 간담회는 한국형(K) 제로트러스트 연착륙을 위해 마련됐다. 가이드라인을 통해 기업과 정부기관에 제로트러스트의 개념과 정의, 국내 환경에 맞춰 달라지는 내용 등의 정보를 제공하고 도입 과정의 어려움 등의 의견을 취합해 준비할 수 있는 기반을 확보한다.
이날 발표한 제로트러스트 가이드라인 1.0은 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시한다.
제로트러스트 가이드라인 전체 버전과 요약본 2가지 형태로 제공된다. 전체버전은 보안전략 책임자 등 실무자들이 실제 업무에 활용하기 위한 문서이며, 요약본은 의사결정 과정에 참여하는 경영진이 빠르게 주요 내용을 파악할 수 있도록 제공된다.
과기정통부에서 공개한 가이드라인에 따르면 한국형 제로트러스트는 네트워크가 이미 침해된 것으로 간주하고 정보 시스템 등에 대한 모든 접속 요청을 신뢰하지 않고 계속 검증하는 보안개념을 기본으로 한다.
이와 함께 생체인증, 모바일 인증 등 다양한 인증 서비스를 동시에 사용하는 다중인증(MFA)과 사용자의 접근 권한과 경로를 항상 파악하는 모니터링 시스템을 갖춰야 한다. 또한 우리나라에 일상화되어 있는 원격지 근무 환경도 제로트러스트를 도입해 보안성을 강화해야 한다.
가이드라인 1.0은 10일부터 과기정통부, KISA 및 유관기관 홈페이지를 통해 이용할 수 있다.
과기정통부는 향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려해 ‘제로트러스트 가이드라인 2.0을 준비하는 등 지속적으로 보완・고도화해 나갈 계획이다.
과기정통부는 지난해 10월 국내 산・학・연・관 전문가로 구성된 ‘제로트러스트포럼’을 구성하고 미국, 유럽, 일본 등의 동향 분석, 자료검토, 토론회 등을 거쳐 의견을 모아 국내 환경에 적합한 한국형 제로트러스트 보안모델을 고안 중이다.
한국형 제로트러스트는 SGA솔루션즈 컨소시엄·프라이빗테크놀로지 컨소시엄이 실증하며, 엔키에서 담당한다.
관련기사
- 씨큐비스타, 'SOC 사이버보안 가시성 3요소' 발표2023.06.19
- "SSE, 시스코 '제로트러스트' 핵심"2023.06.12
- "클라우드 보안의 기본값은 불신, ID 기반 제어 체계 필수"2023.04.12
- 클라우드플레어 "CDN 넘어 '제로트러스트' 일인자 노린다"2023.03.07
하반기 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄은 12월까지 통신, 금융, 공공 분야 등 다양한 환경에 제로트러스트 보안모델을 구현하고, 화이트 해커의 공격 시나리오로 구성된 검증모델을 적용해 보안 효과성을 검증할 예정이다.
과기정통부 박윤규 제2차관은 “국민의 일상생활 및 다양한 산업분야로 네트워크가 확장되는 상황에서 보안체계가 전환되어야 하는 패러다임 전환시기에 이런 상황에 적합한 대안을 찾아야 한다” 면서, “과기정통부는 정부·공공 기관 및 기업들에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속적으로 보완·고도화하는 한편, 실증 사업을 통해 다양한 분야로 제로트러스트 보안모델이 확산될 수 있도록 지원하겠다”고 말했다.
