‘절대 믿지 말고 계속 검증’… 정부, 정보보안 가이드라인 ‘제로트러스트 1.0’ 발표

과학기술정보통신부가 새로운 디지털 환경에서의 정보 보안을 위해 ‘제로트러스트 가이드라인 1.0’을 9일 발표했다. 제로트러스트는 ‘절대 믿지 말고 계속 검증’하는 방식의 보안 개념이다.

기존의 경계 기반 보안 모델은 네트워크를 외부와 내부로 나눈 뒤 내부 네트워크 사용자에게는 암묵적 신뢰를 제공하는 방식이었다. 이 때문에 침입자가 내부자와 공모를 하거나 권한 탈취를 하는 경우 내부의 모든 보호 대상에 추가 인증 없이 접근이 가능했다.

제로트러스트 방식의 보안 모델은 일단 정보 시스템에 접속 요구가 있으면 이미 정보가 침해된 것으로 간주하고 지속적인 인증을 요구한다. 서버, 컴퓨팅 서비스, 데이터 등 모든 자원을 각각 분리해 보호하기 때문에 하나의 자원이 해킹되더라도 다른 자원은 보호할 수 있는 것이 장점이다.

이번에 발표된 제로트러스트 가이드라인은 이를 바탕으로 △강화된 인증(다중인증) △마이크로 세그멘테이션(서버, 데이터 등 작은 단위로 분리) △소프트웨어 정의 경계 등을 핵심 원칙으로 내세웠다.

이번 가이드라인은 7월 10일부터 과기정통부, 한국인터넷진흥원(KISA) 홈페이지를 통해 이용할 수 있다.

최지원 기자 jwchoi@donga.com