"누구도 믿지 마라" 정부, 제로트러스트 가이드라인 발표

과기부 '가이드라인 1.0' 첫 마련  
다양한 정보로 단계별 인증 강화

게티이미지뱅크

과학기술정보통신부가 '누구도 믿지 않고, 끊임없이 검증'하는 '제로트러스트(Zero Trust) 보안'을 국내에 적극 도입하기 위해 가이드라인을 처음 마련했다고 9일 발표했다. 사이버 범죄 때문에 글로벌 공급망 안보에 빨간불이 켜지면서 국내 보안 역량을 한층 끌어올리기 위해서다.

제로트러스트는 "절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)"는 뜻의 보안 개념이다. 사용자나 단말기가 내부망에 접속한 다음에는 어디든 들여다볼 수 있는 기존의 '경계 보안'과 달리 단계별 다중 인증 절차를 거쳐 최소한 영역에서 시스템을 사용하도록 권한을 제한하는 것을 뜻한다. 2021년 미국 최대 송유관 운영사인 콜로니얼 파이프라인의 전산망이 해커 공격을 받아 미국 동부 지역에 석유 공급이 중단된 것 등을 계기로 미국 정부가 먼저 도입했다.

우리나라도 지난해부터 국내 전문가로 '제로트러스트포럼'을 꾸려 다른 나라의 동향을 분석하고 국내 환경에 적합한 방식을 토론했다. 이번 가이드라인 1.0에는 아이디·패스워드 외에도 다양한 정보를 활용해 인증을 강화하고, 컴퓨팅 서비스·소프트웨어 단위로 보호 대상을 분리해 보호하는 내용 등을 담았다. 각 기업이 제로트러스트 보안 도입을 위해 준비(현재수준 평가), 계획(설계), 구현(도입), 운영, 개선 단계에서 도움을 받을 수 있도록 각 단계별로 세부 개념과 절차도 알려준다.

제로트러스트 보안은 네트워크 접속 시 그 누구도 믿지 않고 모든 자원을 각각 보호하는 방식이다. 과학기술정보통신부 제공

특히 원격·재택 근무 등 비대면 사회가 빨라지면서 제로트러스트 보안 모델 도입이 본격화할 것으로 보인다. 과기정통부는 하반기에 통신·금융·공공 분야 등에서 제로트러스트 보안 모델을 구현하고 세계적 수준의 화이트 해커들과 함께 제로트러스트 도입 전후 차이를 검증할 계획이다. 또 가이드라인을 계속 발전시켜 '제로트러스트 가이드라인 2.0'을 준비하고 있다.

한편 가이드라인은 10일부터 과기정통부, 한국인터넷진흥원(KISA) 등의 누리집을 통해 확인할 수 있다.

김지현 기자 hyun1620@hankookilbo.com