"절대 믿지 말고 계속 검증하라"...국내 첫 제로트러스트 가이드라인 나왔다

지난 7일 NIA 서울사무소에서 열린 제로트러스트 현장 간담회에서 박윤규(앞줄 왼쪽 다섯 번째) 과기정통부 제2차관과 참석자들이 기념촬영하고 있다. 팽동현 기자

제로트러스트 접근제어 논리 컴포넌트 구성도. 과기정통부

과학기술정보통신부가 국내 환경에 맞는 제로트러스트 보안모델 도입을 돕기 위해 '제로트러스트 가이드라인 1.0'을 내놨다. 제로트러스트 관련 국내 첫 가이드라인이다.

최근 사이버위협과 정보유출 피해가 늘어나는 가운데 내부에 대한 암묵적 신뢰를 바탕으로 외부 공격 탐지·대응에 집중했던 기존 '경계형 보안'과 대비되는 개념의 '제로트러스트'가 부상하고 있다. 제로트러스트의 원칙은 '절대 믿지 말고 계속 검증하라'다. 컴퓨팅 자원이나 데이터를 각각 분리·보호하고 인증을 거치게 해, 한 곳이 해킹돼도 다른 영역까지 침해당하지 않도록 하는 방식이다.

이번에 마련된 가이드라인은 제로트러스트 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙과 접근제어 원리, 도입계획 수립을 위한 세부절차와 참조모델 등을 제시한다. 보안 실무자들을 위한 전체본, 경영진이나 일반 국민을 위한 요약본 두 가지로 제공된다.

핵심원칙은 다양하고 지속적인 인증 수행, 서버·컴퓨팅 등에 대한 마이크로 세그멘테이션, SW(소프트웨어) 정의 경계 마련 등이다. 접근제어는 제어영역과 '데이터 영역으로 구분, 접근 요구에 대응하는 PDP(정책결정지점)와 접속이 이뤄지는 PEP(정책시행지점)를 둬야 한다.

특히 핵심요소 식별·관리에 있어 국내 망분리 환경이나 고유 법령 등을 고려한 점이 눈에 띈다. 미국 국토안보부 산하 CISA(사이버인프라보안국)가 제시한 제로트러스트 성숙도 모델의 5대 필라인 △아이덴티티(식별자·신원) △디바이스(엔드포인트) △네트워크 △애플리케이션·워크로드 △데이터에 더해 △시스템까지 6대 핵심요소로 포함, 보안수준 성숙도 단계별 기능을 정의해 실질적인 정보를 제공할 수 있도록 했다. 도입 참조모델도 제시했다.

제로트러스트포럼 정책·제도분과장인 이석준 가천대 컴퓨터공학 교수는 "선도국인 미국의 제로트러스트 관련 철학은 그대로 유지하면서 국내 환경의 특수성을 고려해 가이드라인을 마련했다"면서 "제로트러스트를 바라보는 관점도 조금씩 다르고 미국조차 공통된 이해가 아직은 부족하다. 기술 발전에 따른 지속적인 논의와 실증사업 등을 바탕으로 가이드라인을 업데이트해 나갈 것"이라고 설명했다.

하반기에는 실증사업에 참여하는 두 컨소시엄이 12월까지 통신·금융·공공 등 다양한 환경에 제로트러스트 보안모델을 구현한다. SGA솔루션즈가 주관하고 에스지앤·지니언스·소프트캠프가 참여하는 컨소시엄은 NHN클라우드·넷마블·부동산114·예스티 대상으로 실증사업을 수행한다. 프라이빗테크놀로지는 한국IoT융합협동조합 등과 손잡고 NIA(한국지능정보사회진흥원), 한국주택금융공사, LG유플러스에 제로트러스트 보안모델을 적용한다.

이들의 성과에 대해 엔키의 화이트해커들이 공격 시나리오로 구성된 검증모델로 효과성을 확인한다. 과기정통부는 실증사례 보안 효과성 분석 결과와 변화되는 환경 등을 고려해 '제로트러스트 가이드라인 2.0'도 준비한다.

박윤규 과기정통부 제2차관은 "제로트러스트와 SW공급망보안 확산 기반 마련을 위해 상당한 규모의 예산을 배정, 예산당국 및 국회 등과 협의를 하고 있다"며 "정부·공공기관·기업들에 실질적 도움이 되도록 가이드라인을 보완·고도화하는 한편, 실증사업을 통해 다양한 분야로 제로트러스트 보안모델이 확산되도록 지원하겠다"고 밝혔다.팽동현기자 dhp@dt.co.kr