더불어민주당 최민희 국회의원(국회 과학기술정보방송통신위원장, 남양주갑)이 지난 22일 가칭 ‘정보통신망 제로트러스트 보안체계 도입 및 확산에 관한 법률안’을 신설 조항으로 추가하는 정보통신망법 개정안을 대표발의했다. 이날 최 의원은 '제로트러스트 법률'안과 함께 ‘플랫폼 알고리즘 책임법’도 함께 대표발의했다.

최 의원이 '제로트러스트 법률안'을 새로 만든 것(제46조의3 신설)은 현재의 통신사업자들 보안 취약성 때문이다.

즉, 현행법은 정보통신망의 안정성 및 신뢰성 확보를 위해 정보보호최고책임자 지정 및 정보보호 관리체계 인증 등에 관한 사항을 규정하고 있다. 하지만 클라우드 서비스 확산, 공급망 공격 및 내부자 위협 증가 등으로 기존 경계 기반 보안만으로는 새로운 유형의 위협에 대응하기 어려워지고 있다.

이에, 개정안은 제로트러스트에 대해 크게 다섯가지 조항을 신설했다.

첫째, 정보통신서비스 제공자는 정보통신망의 안전한 보호를 위해 정보통신망 또는 정보통신시스템에 대한 접근 요청에 대해 내부 또는 외부 네트워크 위치와 관계없이 신뢰를 부여하지 아니하고 지속적으로 검증하며, 접근 권한을 최소화하는 원칙(이하 제로트러스트 원칙)에 따른 정보보호 체계(제로트러스트 보안체계)를 구축 및 운영하도록 노력해야 한다

둘째, 과학기술정보통신부장관은 제로트러스트 보안체계 확산을 위해 다음 각 호의 시책을 수립 및 추진할 수 있다. 1)제로트러스트 보안체계 관련 기술 연구개발 및 표준화 2) 제로트러스트 보안체계 관련 전문인력의 양성 3) 제로트러스트 보안체계 시범 적용 사업 4)중소기업기본법 제2조제1항에 따른 중소기업(이하 중소기업 대한 제로트러스트 보안체계 도입 지원 5) 그 밖에 제로트러스트 보안체계 확산에 필요한 사항

셋째, 과학기술정보통신부장관은 중소기업이 제로트러스트 보안체계를 도입하는 경우 그에 필요한 경비의 전부 또는 일부를 예산의 범위에서 지원할 수 있다.

넷째, 과학기술정보통신부장관은 정보통신서비스 제공자가 제로트러스트 보안체계를 효과적으로 구축 및 운영할 수 있게 제로트러스트 보안체계 구축 및 운영에 관한 가이드라인을 정해 고시할 수 있다.

관련기사

다섯째, 과학기술정보통신부장관은 제2항 각 호의 시책을 효율적으로 추진하기 위해 한국인터넷진흥원 또는 대통령령으로 정하는 전문기관에 그 업무를 위탁할 수 있다.

최 의원은 "SK텔레콤 유심 해킹, KT와 롯데카드 해킹, 쿠팡 개인정보 유출 사고는 사이버보안이 곧 국민의 생명줄임을 보여줬다"면서 "사고 이후에 대응하는 구조로는 한계가 있으므로 이제는 '제로트러스트'로 미리 차단해야 한다"고 강조했다.