보안 패러다임 혁신 도모, 제로트러스트·공급망보안 포럼 발족

임종철 디자이너 /사진=임종철 디자이너

과학기술정보통신부와 KISA(한국인터넷진흥원)은 26일 오후 2시 서울 강남구 보코서울강남 호텔에서 '제로트러스트, 공급망 보안 포럼 발족식'을 개최했다.

이날 행사에는 엔씨소프트, SGA솔루션즈, 지니언스, LG전자 등 주요 기업들과 KISA, 정보통신기술협회, 전자통신연구원, 국가보안기술연구소, 원자력통제기술원, 금융정보시스템연구회, 한국침해사고대응협의회, CISO(최고정보보안책임자) 협의회 등 유관기관 관계자 60여명이 참석했다.

제로트러스트(Zero Trust)란 '아무도 신뢰하지 않는다'는 것을 전제로 하는 사이버 보안의 모델이다. 사용자나 기기의 접근을 철저히 검증하고 검증 후에도 최소한의 권한만 부여하는 방식이다.

공급망 보안은 SW(소프트웨어) 개발부터 운영, 유지·보수까지 SW 공급의 전 단계에 투입되는 자원과 프로세스에 대한 취약점을 점검하는 보안관리 방식을 일컫는 용어다. SW 전 단계가 복잡해진 데다 구성요소가 많은 점을 노려 이를 악용한 보안위협도 늘어나면서 이에 대응하기 위한 전략도 고도화될 필요가 있다는 이유 때문이다.

이번 발족식은 지능적, 조직적으로 자행되는 사이버 위협에 대응하기 위해 기존 한계를 뛰어 넘어 새로운 보안 체계로 주목받고 있는 제로트러스트와 공급망 보안이 국내 정보보호 환경에 도입되도록 논의하기 위해 마련됐다.

박윤규 과기정통부 제2차관의 축사와 이원태 KISA원장의 개회사로 시작된 이날 발족식은 '제로트러스트, 공급망보안 정책포럼' 민간위원장이자 운영위원장을 맡은 염흥열 순천향대 교수가 포럼 발족의 의의를 설명하는 순서로 진행됐다.


또 그간 준비됐던 제로트러스트 가이드라인 안과 제로트러스트 모델의 국내 적용사례, 공급망 보안성 강화를 위한 정책 방향 등이 논의됐다.

사회 전반에서 디지털 대전환이 빠르게 이뤄지고 클라우드 컴퓨팅과 IoT(사물인터넷) 기기의 급증으로 네트워크가 확장되는 상황에서 글로벌 기업들조차 내부 직원의 계정과 권한을 탈취한 해커를 정상적 이용자로 신뢰해 내부자료 유출 등 피해를 입는 사례가 늘고 있다.

과기정통부는 "미국 바이든 정부도 국가 사이버보안 개선에 대한 행정명령을 발표하면서 제로트러스트 아키텍처(구조)를 연방정부에서 구현하도록 요구하고 미국 연방기관에 SW 내장 제품을 납품할 때 SBOM(SW구성요소 식별 명세서) 제출을 의무화하는 등 공급망 보안에 집중하고 있다"고 했다.

또 "과기정통부와 KISA도 이같은 사이버보안 환경 변화에 발맞춰 올해 초부터 '사이버보안 패러다임 전환 연구반'을 구성, 미국·영국 등 사이버보안 선진국 사례를 분석해 우리나라 산업 맞춤형 보안모델과 가이드라인 마련의 필요성을 제시한 바 있다"며 "이를 구체화하고 보안 패러다임 변화에 능동적으로 대응하기 위해 포럼을 발족했다"고 했다.

제로트러스트·공급망 보안 포럼은 운영위원회, 제로트러스트 분과(2개), 공급망 보안분과(2개)로 구성되며, 각 분과별로 정책·제도, 기술·표준과 산업 등의 관점에서 보안 관련 현안을 정책과제로 정해 관련 기술개발 연구, 실증사업 등을 통해 검증을 진행하고, 최종적으로는 국가 표준화를 목표로 추진할 계획이다.

박윤규 2차관은 "우리 생활이 디지털로 전환되면서 기존 네트워크 경계 중심의 보안은 한계가 다가오고 있으며, 고도화되는 사이버 공격에 대응할 수 있는 전략과 전술이 필요한 시점"이라며 "앞으로 제로트러스트와 공급망 보안을 기반으로 민간·공공, 제조·금융, 통신 등에 체계적으로 적용, 관련 기술과 솔루션 개발, 지원방안을 마련할 계획이며, 새로운 보안 패러다임이 디지털 질서의 기준이 될 수 있도록 노력하겠다"고 했다.