‘K-제로트러스트’ 구현 마중물…베일 벗은 가이드라인 1.0

By이진호

한국형 제로트러스트(ZeroTrust)가 본격적인 발걸음을 내딛는다. 현장 적용 방안을 담은 가이드라인이 베일을 벗었다. 앞으로 국내 기업들은 이를 바탕으로 한층 원활하게 제로트러스트 전략을 구현할 수 있을 전망이다.

과학기술정보통신부는 7일 서울 광화문 인근에 위치한 한국지능정보사회진흥원(NIA) 사무소에서 현장 간담회를 개최했다. 간담회에는 박윤규 과기정통부 2차관을 비롯해 제로트러스트 실증·수요 업체 관계자 등 전문가 20여명이 자리했다.

제로트러스트는 내부와 외부를 가르던 기존의 ‘경계 중심’보안을 넘어 “아무것도 신뢰하지 않고 언제나 검증한다(Never Trust, Always Verify)”는 원칙으로 보안을 지키는 전략이다.

개념 자체가 나온 지는 오랜 시간이 흘렀지만 2020년 8월 미국 국립 표준기술원(NIST)이 ‘NIST SP 800-207’이라는 제로트러스트 아키텍처 표준을 발표한 뒤 실제 적용 논의가 급물살을 탔다. 이듬해인 2021년 5월에는 조 바이든 미국 대통령이 행정명령을 통해 연방정부 차원의 제로트러스트 구현을 주문한 바 있다.

하지만 우리나라의 경우 현장의 의견을 반영한 제로트러스트 관련 길잡이가 없다는 지적이 나왔었다. 지난해 10월 과기정통부와 한국인터넷진흥원(KISA)은 제로트러스트 포럼을 발족하고 가이드라인 발간을 예고한 바 있다. 포럼은 출범과 함께 우리나라 기업과 기관에 전파할 가이드라인 제작에 착수했고, 이날 1.0 버전이 모습을 드러냈다.

이석준 가천대 컴퓨터공학과 교수가 7일 간담회에서 제로트러스트 가이드라인 발간 취지를 설명하고 있다.

제작 전반을 총괄한 이석준 가천대 컴퓨터공학과 교수(제로트러스트 포럼 제도·정책 분과장)는 “신뢰가 있으면 그만큼 위험부담도 커진다고 보고, 이 모든 것을 추적하자는 게 제로트러스트 아키텍처의 골자”라며 “설령 공격이 발생하더라도 피해가 확산되지 않도록 해야 한다”며 이번 가이드라인 발간 취지를 밝혔다.

가이드라인은 보안 담당자 등 전문가들을 위한 안내서와, 일반인의 눈높이에 맞춘 요약서 등 2가지 형태로 나뉜다. 이날 간담회에서는 1.0 버전 요약서가 책자 형태로 공개됐다.

요약서에는 제로트러스트의 개념과 기본 철학, 핵심 원칙 등이 담겼다. 제로트러스트 아키텍처 원리를 비롯해 실제 솔루션 채택을 통한 적용 방법과 도입 절차, 성숙도 단계 모델, 기업망 핵심 요소, 도입 전후 비교 방안 등 IT 시스템의 제로트러스트 구현을 위한 절차와 방법을 제시했다.

요약서에서 주목할 점은 우리나라 기업들의 IT 환경을 반영했다는 점이다. 특히 제로트러스트 도입을 위한 기업망 핵심 요소로 ▲식별자와 신원 ▲기기 및 엔드포인트 ▲네트워크 ▲시스템 ▲애플리케이션 및 워크로드 ▲데이터 등 6가지를 제시한 것이 특징이다.

우리나라 국가 기반 시설의 보안 정책이나 공공 클라우드 보안 인증 기준 등을 고려한 결과다. 미국의 사이버 보안 및 인프라 보안국(CISA)가 제시한 5가지 요소에 더해 ‘시스템’을 새로 넣었다. 여기서 말하는 시스템은 주요 응용 프로그램을 구동하거나 중요한 데이터를 저장하고 관리하는 서버를 의미한다.

망분리 환경을 따르는 금융망 등에서  관리자 계정 해킹에 따른 피해를 막기 위해 시스템을 핵심 요소로 추가했다는 게 이석준 교수의 설명이다. 이 교수는 “망분리 등 우리나라 보안 환경만의 특수성을 고려했다”며 “침해사고 대책 차원에서 시스템을 (핵심요소로) 추가했다”고 설명했다.

7일 NIA 서울 사무소에서 열린 간담회에서는 제로트러스트 실증사업과 검증사업에 대한 계획도 소개됐다.

실증·검증 사업도 진행

간담회에서는 제로트러스트 보안 모델에 대한 실증 계획도 논의됐다. 실증 사업은 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄이 각각 맡는다.

SGA솔루션즈 컨소시엄은 자회사 SGN을 비롯해 지니언스, 소프트캠프로 구성됐다. 오는 11월말까지 NIST의 SP 800-207에 담긴 원칙과 접근법을 준용해 성숙도 모델 대응과 실증 모델 확산을 지원한다. 최영철 SGA솔루션즈 대표는 “CISA의 제로트러스트 성숙도 모델에 ‘시스템’ 추가 적용에 따른 보안성 확대 방안을 제시하고, 한국형 제로트러스트 실증 모델을 확산하는 게 목표”라고 밝혔다.

또한 프라이빗테크놀로지 컨소시엄은 한국IoT융합사업협동조합 대표 기업인 타이거컴퍼니와 손잡고 차세대 통신 환경에서의 제로트러스트 아키텍처 구현을 실증한다.

이 밖에 검증사업을 맡은 엔키는 수요기관을 대상으로 제로트러스트 전략 구현 이전과 이후로 나눠 두 차례에 걸쳐 모의침투를 수행하고 모델 효과성을 분석하기로 했다.

한편 요약서를 비롯한 안내서 등 가이드라인 1.0 버전은 오는 10일부터 KISA와 과기정통부 홈페이지에서 다운로드할 수 있다. 실증과 검증사업 결과를 반영한 2.0 버전은 내년 상반기 발간 예정이다.

박윤규 과기정통부 2차관은 “(가이드라인 발간이) 제로트러스트 개념을 이해하고 체계적인 수립계획을 세우는 데 도움을 줄 것”이라며 “예산당국과 협의해 예산 확보 논의를 진행하고 점진적으로 관련 제도를 개선해 나가겠다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다