'누구도 믿지 마' 한국판 제로트러스트 본격화…가이드라인1.0 공개

박윤규 과학기술정보통신부 2차관 등이 7일 오후 서울 중구 한국지능정보사회진흥원(NIA) 서울사무소에서 열린 '제로 트러스트 현장 간담회'에서 기념 촬영을 하고 있다. /사진=김승한 기자

정부가 사이버 위협에 맞선 새 보안체계로 주목받는 '제로 트러스트'의 국내 도입을 본격화한다. 제로 트러스트에 대한 정의와 최신 동향 등을 담은 '가이드라인1.0'을 7일 공개했다. 기존 경계 보안 체계를 위협하는 사이버 공격에 대비하고 'K-제로 트러스트' 구현을 위한 본궤도에 올라섰다는 평가다.

박윤규 과학기술정보통신부 2차관은 이날 서울 중구 한국지능정보사회진흥원(NIA) 서울사무소에서 열린 '제로 트러스트 현장 간담회'에서 가이드라인1.0을 발표하며 "정부와 기업에서 제로 트러스트를 도입할 경우, 짧은 시간에 개념을 이해하고 체계적이고 효과적인 도입 계획을 수립하는 데 (가이드라인 1.0이) 큰 도움을 줄 수 있을 것"이라고 말했다.

제로 트러스트란 모든 접근 시도를 신뢰하지 않고 최소한의 권한만 부여해 보안을 유지하는 최신 보안기법이다. 기존 경계 기반 보안 모델을 보완할 수 있다. 클라우드 컴퓨팅, IoT(사물인터넷) 기기 급증으로 네트워크가 확장되면서 내부 시스템에 침투한 해커를 정상적인 이용자로 신뢰, 자료 유출 피해를 입는 기업이 늘면서 2021년 미국에서 처음 논의됐다.

박 차관은 "모바일, IoT, 클라우드 확산과 원격·재택근무 일상화로 기존의 경계 보안 체계가 큰 도전을 받고 있다"며 "지난해 랩서스 그룹의 국내 해킹 사례는 설치된 권한을 이용해 시스템에 접속하고, 데이터를 유출한 것으로 분석돼, 기존 보안 체계에 대한 한계를 명확히 보여준 사례"라고 지적했다.

이에 과기정통부는 지난해 10월 제로 트러스트·공급망 보안 포럼을 발족하고, 제로 트러스트 보안 모델 실증 및 로드맵 마련에 착수했다. 최근엔 공모를 거쳐 제로 트러스트를 실증할 SGA솔루션즈 컨소시엄·프라이빗테크놀로지 컨소시엄을 선정했다.

박 차관은 "올해 2개 컨소시엄이 7개 기업 환경에 제로 트러스트 보안 모델을 적용하는 한편, 제로 트러스트 보안 모델 적용 전후의 보안성을 검증할 수 있도록 침투 시나리오도 개발할 것"이라며 "세계적 수준의 화이트 해커들을 실증 사업에 적용해 제로 트러스트로 인한 향상된 보안성을 입증할 것"이라고 강조했다.

그러면서 "과기정통부는 내년부터 제로 트러스트와 소프트웨어 공급망, 보안 확산 기반 마련을 위해 상당한 규모의 예산을 배정할 예정"이라며 "현재 국회 등과 적극적인 협의를 하고 있다"고 덧붙였다.