금융보안원, 금융권 제로트러스트 안내서 발간
금융보안원은 금융회사가 제로트러스트를 쉽게 구축하고 운영할 수 있도록 ‘금융분야 제로트러스트 보안 안내서’를 발간했다고 9일 밝혔다. 망분리 규제 완화 흐름 속에서 제로트러스트가 핵심 보안 강화 전략으로 떠오르는 상황을 반영한 조치다.
금융보안원은 성공적 구축 사례와 구체적 예시가 부족해 도입에 소극적이던 금융회사에 실질적인 도움을 주기 위해 안내서를 마련했다고 설명했다.
이번 안내서는 일반적인 개념 설명보다 금융권 현장에 바로 적용할 수 있는 실무 중심 내용에 초점을 맞췄다. 금융권에 맞춘 제로트러스트 구축 예시와 보안 진단 항목을 담아 현장 활용도를 높인 것이 특징이다.
금융보안원은 금융권 정보기술(IT) 환경을 고려해 제로트러스트 우선 도입 가능 구간으로 ▲재택근무 ▲업무 단말 ▲서비스형 소프트웨어(SaaS) ▲연구·개발 ▲본·지점 간 통신 등 5개 네트워크 구간을 제시했다. 각 구간별로는 제로트러스트 네트워크 접근(ZTNA) 구축 예시를 담았다. 제로트러스트 네트워크 접근은 단말과 사용자 상태를 지속적으로 검증한 뒤 필요한 내부 자원에만 접근하도록 제어하는 방식이다.


안내서는 금융회사가 제로트러스트 도입 뒤 안전성을 점검할 수 있도록 7개 분야 21개 항목의 보안 진단 기준도 함께 제시했다. 분야별로 보면 신원·사용자 관리 5개, 단말·엔드포인트 관리 3개, 네트워크 4개, 애플리케이션 2개, 데이터 4개, 가시성 2개, 자동화 1개다. 진단 기준에는 사용자·계정·권한 검증 여부, 단말 보안 설정 충족 여부, 네트워크 은닉과 세분화 적용 여부, 데이터 접근통제와 암호화 여부, 이상행위 탐지 여부, 보안정책의 실시간 적용과 동기화 여부 등이 담겼다.
금융보안원은 이번 안내서 발간을 시작으로 제로트러스트 도입 예시와 모범사례를 계속 수집·분석해 금융회사에 제공할 계획이다.
박상원 금융보안원 원장은 “망분리 규제 완화와 클라우드 이용 확대에 따라 금융회사의 내·외부 네트워크 경계가 갈수록 흐려지고 있다며, 모든 접속과 행위를 검증하는 제로트러스트 도입을 적극 검토해야 할 시점”이라고 말했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network


