‘제로트러스트’ 가이드라인 늦어진다…내년 2월 나올 듯
[무료 웨비나] 중동의 ICT 및 테크 기업 생태계 – 사우디 아라비아, UAE를 중심으로
- 일시 : 2025년 1월 23일 (목) 14:00 ~ 15:10
국내 산업 보안에 적용될 제로트러스트(ZeroTrust) 가이드라인이 당초 계획보다 다소 늦게 공개될 전망이다. 산업 현장의 의견을 수렴하고 ‘가이드라인’이라는 표현이 강제성을 띠는 듯하다는 시각을 반영해 ‘안내서’ 성격으로 발간될 예정이다.
바이라인네트워크 취재를 종합하면, 제로트러스트 가이드라인은 본래 계획을 넘겨 내년 2월께야 나올 것으로 예측된다. 앞서 과학기술정보통신부와 한국인터넷진흥원은 앞서 지난 10월 ‘제로트러스트‧공급망 보안 포럼’을 출범하고 제로트러스트 가이드라인을 이르면 올해 중으로 공개할 방침이었다.
늦어지는 이유는 가이드라인이라는 이름이 주는 무게 때문이다. 가이드라인은 하지 말아야 하거나 가급적 지켜야 하는 범위를 잡는 게 목적이다. 하지만 현장에서 받아들이기에 이를 지키지 않으면 규제 대상이 되거나 페널티를 받을 수 있다는 인식이 존재한다. 이에 문서 이름을 안내서로 바꾸고 성격을 다듬는 작업을 진행한다는 게 포럼 측 설명이다.
제로트러스트 포럼 정책·제도분과장을 맡은 이석준 가천대 교수는 “가이드라인이라고 하면 강제성이 있는 느낌이 있어 안내서 문서 성격으로 수정을 진행할 계획”이라며 “큰 틀에서의 변화는 없고 일부 표현 방식을 수정하고 내용을 추가하는 작업을 진행하고 있다”고 밝혔다.
10월 포럼 출범식에서 공개한 초안 목차에는 제로트러스트 개요를 비롯해 ▲제로트러스트 아키텍처 보안 모델 ▲제로트러스트 도입 절차 ▲구현 케이스 등이 담겼다. 포럼은 지난달 킥오프 회의를 연 데 이어 이달 중에도 세부 사항을 논의하고 다음달에도 회의를 가진다. 산업·기술 분과에서도 기술수요 확인이나 실증 방안을 연구 중이다.
포럼 운영 간사를 맡은 KISA 관계자는 “우리 현실에 맞는 안내서를 제작하는 방향으로 안다”며 “안내서가 나오면 이를 바탕으로 제로트러스트 아키텍처를 정책적으로 발표할 예정”이라고 전했다.
정부 차원의 제로트러스트 아키텍처 구현은 국정과제와도 연결된다. 국정과제 78번 ‘세계 최고의 네트워크 구축 및 디지털 혁신 가속화’에는 “네트워크 안정성 및 사이버보안 대응력 확보로 튼튼하고 안전한 디지털 기반 강화”가 담겼다. 또 101번 ‘국가 사이버안보 대응역량 강화’에도 “국가배후 조직 및 국제 해킹조직의 위협에 대응하는 사이버안보 패러다임 구축”이 목표로 담겨 정부는 제로트러스트 표준화까지 추진하고 있다.
KISA 관계자는 “실증과 정책연구 등이 진행돼야 자세한 지침 마련과 표준화로까지 이어질 수 있다”면서 “안내서는 내년 1분기 안에는 반드시 공개될 것”이라고 말했다.
한편 공급망 포럼 쪽도 작업을 진행하고 있다. 국가 기반 시설 등에 초점을 맞췄던 기존의 공급망 보안 가이드라인의 범위를 넓히고, 정책 아젠다 개발을 진행한다. 공급망 포럼 정책·산업분과장인 최윤성 고려대 교수는 “(공급망을 대상으로 한) 최신 사이버 위협 현황을 반영해 가이드라인 개정에 나설 것”이라며 “내년에는 보안 산업과 의료 산업을 중심으로 SBOM 실증을 진행할 예정”이라고 말했다.
SBOM(Software Bill of Materials)은 소프트웨어의 구성요소를 식별할 수 있는 일종의 명세서다. 미국 전기통신 및 정보청(NTIA)은 ▲공급자 이름 ▲구성요소 이름 ▲구성요소 버전 ▲기타 고유 식별자 ▲종속성 관계 ▲SBOM 데이터 작성자 ▲타임스탬프 등 7가지 조건을 SBOM의 최소 구성요소로 제시한 바 있다. 한국에서도 이 같은 형태로 보안이나 의료 산업에 SBOM을 실증해보고, 현장에서 부족한 부분이 발견되거나 보완해야 할 사항이 발견된 경우 추가 요소를 마련한다는 게 최 교수의 설명이다.
그는 “실증 추진을 위한 민관 협의회도 구성할 것”이라며 “실증을 통해 SBOM을 시범 적용해보고 플러스알파(추가 요소 마련)를 해야 한다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network