실증사업·침투테스트로 안정성 확인…지속적 고도화 나설 것
[데이터넷] 과학기술정보통신부는 ‘제로 트러스트 가이드라인 1.0’을 마련하고, 전 분야로 확산시킬 계획이라고 10일 밝혔다. 과기정통부는 디지털플랫폼정부위원회와 함께 4월 ‘디지털플랫폼정부 실현계획’을 발표하면서 새로운 디지털환경에서의 정보보안을 위하여 국가적 차원의 제로 트러스트 도입을 추진하겠다고 밝힌 바 있다.
과기부는 지난해 국내 산·학·연·관 전문가로 구성된 ‘제로 트러스트포럼’을 구성하고 미국, 유럽, 일본 등의 동향 분석, 자료검토, 토론회 등을 거쳐 국내 환경에 적합한 가이드라인을 이번에 발표했다.
제어·데이터 영역 구분…정책시행지점 운영
이번 가이드라인에서 밝힌 핵심 원칙은 ▲ID/PW, 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함하는 강화된 인증 ▲서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리하는 마이크로 세그멘테이션 ▲소프트웨어 기반으로 보호 대상을 분리, 보호할 수 있는 경계를 만드는 소프트웨어 정의 경계(SDP) 등이다.
특히 안전하고 지속적인 접근제어를 위해 ‘제어영역’과 ‘데이터 영역’을 구분, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영하도록 했다.
재택·원격근무 환경 침투테스트로 안정성 확인
제로 트러스트 도입을 검토하고 있는 기관·기업의 관계자들은 네트워크, 컴퓨팅 자원 중 어떤 요소를 어느 정도 보안수준으로 설계를 해야 할지, 관련 예산계획 수립, 도입 기간 중 진행상황 점검 등을 위한 지표를 필요로 한다.
이를 위해 식별자·신원, 기기, 네트워크, 시스템, 응용·네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의해 실질적인 정보를 제공할 수 있도록 했다.
또한 정부·공공 기관, 기업 관계자들은 실질적인 도입 전략 수립 시 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로 트러스트 보안모델을 적용한 사례를 참조모델로 제시하고, 제로 트러스트 도입 전후 네트워크 구조 변화 및 보안 효과성 등을 확인할 수 있다.
이를 위해 최근 우리나라에 일상화된 재택·원격지 근무 환경에 제로 트러스트 보안모델을 적용한 네트워크에 침투 시나리오를 적용해 제로 트러스트 도입 시 보안성이 강화될 수 있음을 파악할 수 있게 했다.
실증사례 보안 효과 분석하며 고도화
이번 가이드라인은 10일부터 과기정통부, KISA, 유관기관 홈페이지를 통해 이용할 수 있으며, 향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려해 ‘제로 트러스트 가이드라인 2.0’을 준비하는 등 지속적으로 보완, 고도화해 나갈 계획이다.
한편 과기부는 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄을 통해 통신·금융·공공 등 다양한 환경에 제로 트러스트 보안모델을 구현하는 실증사업을 진행하고 있으며, 실증에 활용한 모델은 화이트해커의 검증을 수행할 계획이다.
