“아무도 믿지마”… ‘제로트러스트 가이드라인’ 나왔다

과기부 ‘제로트러스트 가이드라인 1.0’ 발표

일단 내부망에 접속한 다음에는 어디든 들여다볼 수 있는 방식의 기존 ‘경계 보안’과 달리 ‘제로트러스트 보안’은 그 누구도 믿지 않아 모든 자원을 각각 보호하는 방식이다. 과학기술정보통신부 제공.

과학기술정보통신부가 ‘누구도 믿지 않고, 끊임없이 검증’하는 방식의 ‘제로트러스트(Zero Trust) 보안’을 국내에 적극 도입하기 위해 ‘제로트러스트 가이드라인 1.0’을 마련했다고 9일 발표했다. 지난해 10월부터 국내 전문가로 구성된 ‘제로트러스트포럼’을 구성해 미국, 유럽, 일본 등 다른 나라의 동향을 분석하고 국내 환경에 적합한 방식에 대한 토론을 벌여온 결과다.

제로트러스트는 “절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)”는 보안개념이다. 일단 내부망에 접속한 다음에는 어디든 들여다볼 수 있는 방식의 기존 ‘경계 보안’과 달리 ‘제로트러스트 보안’은 그 누구도 믿지 않아 모든 자원을 각각 보호하는 방식이다. 과기정통부는 발표 자료를 통해 “원격･재택 근무 등 비대면 사회가 가속화됨에 따라 제로트러스트 보안모델 도입이 본격화되고 있다”고 밝혔다.

가이드라인은 아이디·패스워드 외에도 다양한 인증정보를 활용해 인증을 강화하고 컴퓨팅 서비스·소프트웨어 단위로 보호 대상을 분리해 보호하는 등의 내용을 핵심 원칙으로 한다. 각 기업이 제로트러스트 보안 도입을 위해 준비(현재수준 평가), 계획(설계), 구현(도입), 운영, 개선 단계에서 도움을 받을 수 있도록 각 단계별로 세부 개념과 절차를 안내한다.

이번 가이드라인은 오는 10일부터 과기정통부, 한국인터넷진흥원(KISA) 등의 누리집을 통해 확인할 수 있다. 과기정통부는 하반기에 통신･금융･공공 분야 등에서 제로트러스트 보안모델을 구현하고, 세계적 수준의 화이트 해커들과 함께 제로트러스트 도입 전후 차이를 검증할 계획이다. 또 가이드라인을 지속적으로 발전시켜 ‘ 제로트러스트 가이드라인 2.0’을 준비할 예정이다.

박윤규 과기정통부 2차관은 “과기정통부는 공공기관과 기업들에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속적으로 보완해나가고 실증 사업을 통해 다양한 분야로 제로트러스트 보안모델이 확산될 수 있도록 지원하겠다”고 말했다.

임지선 기자 sun21@hani.co.kr