제로트러스트 가이드라인 연내 공개…‘제로트러스트·공급망 보안 정책 포럼’ 발족

By이진호

국내 산업 보안에 적용될 제로트러스트(ZeroTrust) 가이드라인이 이르면 올해 중 공개될 전망이다. 가이드라인이 완성되면 국가 표준화를 추진한다. 파급력이 큰 공급망에 대한 사이버 공격을 막기 위한 제언도 나왔다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 ‘제로트러스트·공급망 보안 정책 포럼’을 구성하고 26일 발족식을 개최했다. 새로운 보안체계로 주목받는 제로트러스트와 공급망 보안이 국내 정보보호 환경에 도입될 수 있도록 논의하는 자리다.

제로트러스트는 ‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’는 원칙 아래 내부자들도 믿지 않고 더욱 강력한 보안 체계를 구축하는 개념이다. 외부 접속을 차단하는 등의 경계 기반 보안과는 구별된다. 세계적인 흐름이지만 우리나라는 아직 구체적인 방향이나 도입 방법을 담은 가이드라인이 나오지 않은 상태다.

이날 발족식에서는 제로트러스트 도입을 위한 가이드라인 제정 상황, 공급망 보안 추진 전략과 실증을 위한 방안 등이 소개됐다.

이석준 제로트러스트 정책·제도분과장(가천대 교수)은 “현재 제로트러스트 도입을 위한 가이드라인 초안이 나온 상태”라며 “포럼을 통해 의견을 수렴하고 수정해 최종 발표할 생각”이라고 말했다.

일부를 공개한 초안 목차에는 제로트러스트 개요를 비롯해 ▲제로트러스트 아키텍처 보안 모델 ▲제로트러스트 도입 절차 ▲구현 케이스 등이 담겼다. 빠르면 올해 말에서 늦어도 2023년 초에는 작업이 완료될 거라는 게 이석준 분과장의 설명이다. 가이드라인이 완성되면 국가 표준화를 추진할 방침이다.

그는 “국가적으로 제로트러스트 도입 정책 수립과 실증을 위한 기본모델로 활용될거라 생각한다”며 “(도입을 위한 세부 절차까지) 아주 구체화한 것은 아니기 때문에 추가적인 지침서도 만들어져야 할 것”이라고 말했다.

신종회 제로트러스트 산업·기술분과장(엔씨소프트 정보보안센터장)은 “보안을 하나로 아우르는 솔루션이 없었다”며 “보안 중요도 분류 체계를 만들고 제로트러스트 아키텍처를 어떻게 구현할지에 대한 가이드, 솔루션 연동 표준화와 소요기술을 개발하는 것이 필요하다”고 말했다.

사용자와 디바이스, 서비스를 아우르는 솔루션 연동이 제로트러스트 구현을 위한 과제라는 뜻이다. 실증을 통해 벤치마킹할 수 있는 우수사례도 필요하다는 게 그의 생각이다.

공급망 보안은 소프트웨어(SW)의 구성요소를 식별할 수 있는 일종의 명세서인 ‘소프트웨어 자재명세서(SBOM)’가 열쇠가 될 전망이다. 미국 정부는 앞서 행정명령을 내리고 연방정부 차원에서 제로트러스트를 구현하도록 했다. 연방기관에 SW 내장 제품을 납품할 경우 ‘SBOM’ 제출을 의무화하는 등 공급망 보안을 강화하고 있다.

최윤성 공급망 보안 정책·산업분과장(고려대 교수)은 SBOM 모델을 우리나라에 적용해 공급망 보안을 강화해야 한다고 주장했다. 공급 자체에 대한 신뢰성이 약화되고 유지보수 업체 같은 제3자까지 공격 대상이 되기 때문에 기존의 방어 체계로는 막아내기 어렵다는 의견이다.

그는 “공급망 공격은 개발 환경이나 제작사, 업데이트 파이프라인 같은 공급망이 포함돼 타격이 크다”며 “이것이 무서운 이유는 공급자와 소비자간의 정상적인 계약관계를 악용하기 때문”이라고 말했다.

한편 제로트러스트·공급망 보안 포럼은 기존 사이버보안 패러다임 전환연구반의▲제로트러스트 ▲공급망 보안 ▲메타버스·NFT ▲AI·6G·양자보안 ▲IoT보안 등 5개 분과 가운데 제로트러스트와 공급망 보안 분과를 확대 재편한 조직이다. 운영위원회를 비롯해 제로트러스트와 공급망 보안 각각 2개 분과로 구성해 운영한다. 제로트러스트는 정책·제도와 산업·기술, 공급망 보안은 정책·산업과 기술·표준 분과로 구성한다. 간사는 KISA가 맡았다. 포럼은 앞으로 연구, 실증사업 등을 통해 검증을 진행하고 최종적으로는 국가 표준화를 추진할 계획이다.

이원태 KISA 원장은 개회사를 통해 “제로트러스트와 공급망 보안은 디지털 세계를 안전하게 이끌 수 있는 보안 모델”이라고 강조하며 “포럼을 통해 생산적인 논의가 이뤄졌으면 한다”고 밝혔다.

운영위원장을 맡은 염흥열 순천향대 교수는 “보안 패러다임 변화에 능동적으로 대응하기 위해 발족한 포럼”이라며 “민간과 공공의 협업을 통해 제로트러스트 원칙을 적용한 보안기법을 국내에 확산할 전략을 마련해야 한다. 새로운 보안 위협에 대처할 수 있는 효과적인 대책을 수립할 수 있는 다양한 활동을 적극 지원하겠다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다