과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(이하 KISA)이 ‘제로트러스트(Zero Trust) 가이드라인 2.0’을 발표해 실질적인 보안 지침서를 마련했다.
제로트러스트 보안은 ‘절대 믿지 말고, 계속 검증하라’는 의미를 담은 철통 인증 개념의 보안 모델이다. 이는 전 산업 분야에서 디지털 전환이 가속화되는 가운데, 기존 보안 방식의 한계를 극복하기 위해 도입됐다. 기존의 보안 방식은 내부와 외부를 구분해 내부자에게 신뢰를 부여했다. 그러나 최근 원격 근무가 확산되고, 인공지능(AI), 클라우드 기술이 활용되면서 내부 및 외부의 네트워크 경계가 불분명해졌다. 이에 따라 내부자 공모 및 권한 탈취 등 이 정책의 허점을 노린 침해 사고가 늘어났다.
새로운 사이버 위협에 대한 방어 전략으로 제시된 제로트러스트 보안은 접근 자체에 대해 비신뢰를 가정하며, 보안 책임자에게 접근 요청이 유효함을 보증할 수 있는 경우 승인될 수 있도록 설정한다. 제로트러스트 아키텍처에는 ▲최소 접근 권한 ▲디바이스 검증 ▲다중요소 인증 ▲마이크로 세그먼트 ▲모니터링 등이 반영된다. 제로트러스트의 최종 목표는 기업망 및 내부 리소스를 보호하는 것이다.
그러나 한국정보보호산업협회(KISIA)가 실시한 설문에 따르면, 국내 수요기업의 62.5%는 여전히 제로트러스트라는 용어를 모르는 것으로 나타났다. 나머지 중 약 31.0%도 ‘용어는 알지만 자세히 알지 못한다’고 답했다.
이에 따라 지난해 7월 과기정통부는 제로트러스트 가이드라인 1.0을 발표했다. 과기정통부는 “방법론 관점에서 가이드라인 1.0은 실제로 공공·민간의 많은 분야에서 활용됐고, 실증사업 등으로 제로트러스트 철학을 공유하고 기본적인 이해를 도왔다”고 평가했지만, “개념 소개와 인식 제고를 넘어 실제 기업에서 도입하고 활용하는 데 실질적인 도움이 될 수 있도록 보완할 필요성을 느꼈다”고 말했다.
그래서 지난 12월 3일 발표된 제로트러스트 가이드라인 2.0은 기업의 실제 적용을 위한 방침을 제공하도록 기업 내 의사결정자 등 수요자 관점에서 제작됐다. 가이드라인 2.0의 주요 골자는 ‘성숙도 모형’을 기존 3단계에서 초기 단계를 추가한 4단계(기존-초기-향상-최적화)로 구체화한 것. 6가지 기업망 핵심 요소, 2가지 교차 기능에 대한 27가지 기능 및 52가지 보안 세부 역량과 성숙도 수준별 특징을 제시했다. 이중 6가지 기업망 핵심 요소에는 ▲식별자·신원 ▲기기 및 엔드포인트 ▲네트워크 ▲시스템 ▲애플리케이션 및 워크로드 ▲데이터가 포함된다.
또한 제로트러스트 아키텍처 도입 과정에서는 ▲단계별 고려사항 ▲조직의 역할 및 목표 ▲단계별 이행안 수립을 위한 방법론과 2023년도 실증 사례를 포함했다. 제로트러스트 보안은 준비-계획-구현-운영-피드백 및 개선 등 5단계를 거쳐 도입된다.
마지막으로, 도입 후 기업망 보안 수준을 평가 및 분석할 수 있는 체크리스트도 제시한다. 주로 52가지 성숙도 모델의 세부 역량과 연계된 항목으로, 기업이 직접 성숙도 수준을 평가할 수 있도록 한다. 이는 도입 계획을 수립할 때 활용될 수 있다. 과기정통부는 “제로트러스트 가이드라인 2.0으로 기업은 기업망 구성 핵심요소에 대해 세부 역량 및 성숙도를 수준별 특징별로 확인 및 평가하고, 제로트러스트 보안 도입에 실질적인 도움을 받을 수 있을 것”이라고 덧붙였다.
가이드라인 2.0 부록에는 클라우드 및 온프레미스 환경에서의 제로트러스트 적용 실증 사례가 소개됐다. 예컨대, 클라우드 기반 SaaS를 사용하는 기업에서 실제 클라우드 보안 문제점을 확인하고, 각 환경 대비 개선 효과를 분석하기 위한 3가지 실험망 시나리오를 수립했다. 이 실험의 결과로 망간 자료 전송 시스템에서 SaaS 서비스에 대한 파일 송수신 제어 기능이 미비하다는 점 등 보안 취약점을 발견하고, 보안 강화 방안을 마련했다.
제로트러스트 가이드라인에서는 성숙도 모델을 제시하면서도 “가이드라인은 절대적인 구현 방안이 아니며, 각 기업의 비즈니스 모델과 규모, 보안 목표, 네트워크 아키텍처, 준수 규정에 따라 다르게 설정될 수 있다”고 덧붙였다.
한편, 과기정통부는 지난 12월 12일 제로트러스트 확산 지원 성과공유회를 열어 지난 6월부터 4개 연합체를 선정해 추진한 시범사업 결과를 발표했다. SGA솔루션즈 컨소시엄(공공)을 비롯해, ▲지니언스 연합체(야놀자, 에스트래픽) ▲앰진 연합체(이브이시스, SK브로드밴드 등 6개사) ▲엠시큐어 연합체(KB국민은행) 등 민간 3곳이다. 이들 기업은 시범사업으로 수요 기관별 맞춤형 보안모형 개발부터 실제 환경에서의 운영을 지원 받았다.
댓글 0