[디지털데일리 이종현기자] 과학기술정보통신부(이하 과기정통부)는 작년 10월 국내 산·학·연·관 전문가로 구성된 제로 트러스트 포럼을 구성, 미국, 유럽, 일본 등 동향 분석과 자료검토, 토론회 등을 바탕으로 국내 환경에 적합한 ‘제로 트러스트 가이드라인 1.0’을 마련했다고 지난 9일 밝혔다.

정부는 지난 4월 새로운 디지털 환경의 정보보호를 위해 국가 차원의 제로 트러스트 도입을 추진하겠다는 계획을 공개한 바 있다. 이번 제로 트러스트 가이드라인 1.0은 이런 활동의 시작이 될 전망이다.

제로 트러스트는 시스템에 대한 접속요구가 있을 때 네트워크가 이미 침해돼 있음을 간주하고 ‘절대 믿지 말고 계속 검증하라(Never Trust, Always Verify)’는 보안 방법론이다. 미국을 시작으로 전 세계 국가들이 정보보호의 표준으로 받아들이고 있다.

이는 네트워크의 내·외부로 경계를 구분하고, 방화벽 등을 통해 내부 네트워크에 접근한 이들에게는 암묵적 신뢰를 부여하는 기존 경계 기반 모델이 충분하지 않다는 문제의식에서 비롯한다. 내부자와 공모 또는 계정 탈취 등을 통해 시스템에 접속할 경우 마땅한 보안 조치가 이뤄지지 않는다는 것이 문제점이다.

반면 제로 트러스트 보안모델은 제로트러스트 보안 개념을 토대로 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호한다. 하나의 자원이 해킹됐다고 하더라도 인근 자원은 보호할 수 있다. 사용자 또는 기기 등 모든 접속요구에 대해 추가인증을 요구하는 방식으로 보안 수준을 높일 수 있다.

제로 트러스트 가이드라인 1.0에는 제로 트러스트의 기본개념과 보안원리, 핵심원칙 및 접근제어원리, 도입계획 등을 위한 세부절차와 도입 참조모델을 제시하고 있다.

가이드라인이 제시하는 제로 트러스트 보안의 핵심원칙은 ▲강화된 인증(아이디, 패스워드 외에 다른 정보를 활용한 다중인증 등) ▲마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 작은 단위로 분리) ▲소프트웨어(SW) 정의 경계(SW 기반으로 보호 대상을 분리·보호할 수 있는 경계 생성) 등이다.

가이드라인 1.0은 7월10일부터 과기정통부, 한국인터넷진흥원(KISA) 등 유관기관 홈페이지를 통해 공개된다. 향후 실증사례와 보안 효과성 분석 결과와 변화하는 환경 등을 고려한 2.0 가이드라인을 출시할 예정이다.

하반기에는 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄이 12월까지 통신･금융･공공 분야 등 다양한 환경에 제로 트러스트 보안모델을 구현하고, 화이트 해커들이 공격 시나리오로 구성된 검증모델을 적용해 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다.

과기정통부 박윤규 제2차관은 “국민의 일상생활 및 다양한 산업분야로 네트워크가 확장되는 상황에서 보안체계가 전환되어야 하는 패러다임 전환시기에 이런 상황에 적합한 대안을 찾아야 한다”며 “과기정통부는 정부·공공 기관 및 기업들에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속적으로 보완·고도화하는 한편 실증 사업을 통해 다양한 분야로 제로트러스트 보안모델이 확산될 수 있도록 지원하겠다”고 말했다.