"믿지 말고 계속 검증"…과기정통부, 보안 수준 강화 지침 마련

'제로트러스트' 개념·보안원리·핵심원칙 등 담아
"국산 제로트러스트 기술 실증…다양한 분야 확산 지원"

(과기정통부 제공)

(서울=뉴스1) 박소은 기자 = 과학기술정보통신부는 국내 환경에 적합한 '제로트러스트 가이드라인 1.0'을 마련했다고 9일 밝혔다.

'제로트러스트'(Zero Trust)는 새로운 보안 개념이다. 정보 시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, '절대 믿지 말고, 계속 검증하라'를 원칙으로 삼는다.

과기정통부는 지난해 10월 국내 산·학·연·관 전문가로 구성된 '제로트러스트포럼'을 구성하고 미국, 유럽, 일본 등의 동향 분석, 자료검토, 토론회 등을 거쳐 이 같은 가이드라인을 제정했다.

과기정통부는 지난 4월 대통령 직속 디지털플랫폼정부위원회와 함께 '디지털플랫폼정부 실현계획'을 발표하며 새로운 디지털환경에서의 정보보안을 위한 국가적 차원의 제로트러스트 도입 추진 계획을 밝혔다.

제로트러스트 가이드라인 1.0은 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시하고 있다.

정부는 가이드라인을 각 분야로 확산시킬 계획이다.

기존 경계 기반 보안모델은 침입자가 내부자와 공모 또는 권한 탈취를 통해 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있어서 악의적 목적을 위해 데이터가 외부로 유출될 수 있다.

(과기정통부 제공)

반면, 제로트러스트 보안모델은 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호한다. 하나의 자원이 해킹됐다고 하더라도 인근 자원은 보호할 수 있는 것이다. 또 사용자·기기 등의 모든 접속 요구에 아이디·패스워드 이외의 정보를 요구하는 방식으로 보안 수준을 높인다.

이번 가이드라인은 10일부터 과기정통부와 유관기관 누리집에서 이용할 수 있다. 과기정통부는 실증사례의 보안 효과성 분석 등을 통해 '가이드라인 2.0'을 준비할 계획이다.

박윤규 과기정통부 제2차관은 "국민의 일상생활과 다양한 산업 분야로 네트워크가 확장되고 보안체계가 전환돼야 하는 시기에 따른 적합한 대안을 찾아야 한다"며 "제로트러스트 가이드라인의 보완·고도화에 이어 실증 사업을 통해 다양한 분야로 보안 모델이 확산하도록 지원하겠다"고 말했다.

soso@news1.kr