한국형 제로트러스트 첫걸음…"절대 믿지 말고 계속 검증하라"

제로트러스트 개념·보안원리·핵심원칙 설명하는 '가이드라인 1.0' 공개

과학기술정보통신부가 9일 진화된 보안개념 '제로트러스트'의 핵심 원칙과 원리 등을 설명하는 '제로트러스트 가이드라인 1.0'을 발표했다. 과기정통부는 하반기 통신·공공·금융 분야에 제로트러스트 보안 모델을 구현해 보안 효과성을 검증할 계획이다.

제로트러스트는 정보 시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고 '절대 믿지 말고 계속 검증하라'는 새로운 보안개념이다. 한 번 로그인으로 모든 시스템에 접속할 수 있는 게 아니라 접속하는 시스템마다 로그인을 다시 요구하는 방식이다.

제로트러스트 보안모델은 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호한다. 이를 통해 하나의 자원이 해킹돼도 인근 자원은 보호할 수 있다. 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디·패스워드 외에 생체정보 등 다양한 정보를 이용해 인증하는 방식으로 보안 수준을 높일 수 있다.

이번 가이드라인 1.0에는 제로트러스트의 핵심 원칙을 △강화된 인증 △마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리) △소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야 함) 등으로 정의했다.

경계 보안 Vs 제로트러스트 보안 비교/자료=과기정통부

보호대상 자원에 대한 접근 요구에 대해 접속을 허락할지 말지를 결정하는 과정인 접근제어 원리는 제로트러스트 기본철학을 구현하는 가장 중요한 원리 중 하나다. 가이드라인은 안전하고 지속적인 접근제어를 위해 '제어 영역'과 '데이터 영역'으로 구분돼야 한다고 규정했다. 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야 한다.

가이드라인은 또 제로트러스트 도입을 검토하는 기관·기업 관계자들이 실질적인 정보를 확보할 수 있도록 식별자·신원, 기기, 네트워크, 시스템, 응용·네트워크, 데이터 등 6개 핵심 요소에 대한 보안 수준의 성숙도 단계별 기능을 정의했다. 아울러 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시했다.

제로트러스트 접근제어 논리 컴포넌트 구성도/자료=과기정통부

가이드라인은 오는 10일부터 과기정통부, KISA(한국인터넷진흥원) 및 유관기관 홈페이지를 통해 이용할 수 있다. 과기정통부는 앞으로 실증사례의 보안 효과성 분석 결과와 환경 변화 등을 고려해 '제로트러스트 가이드라인 2.0'을 준비하는 등 보완·고도화해 나갈 계획이다.


하반기에는 SGA솔루션즈 컨소시엄·프라이빗테크놀로지 컨소시엄과 통신·금융·공공 분야 등 다양한 환경에 제로트러스트 보안 모델을 구현한다. 이후 화이트 해커들이 공격 시나리오로 구성된 검증 모델을 적용해 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다.

박윤규 과기정통부 제2차관은 "과기정통부는 정부·공공기관 및 기업들에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속해서 보완·고도화하겠다"며 "실증사업을 통해 다양한 분야로 제로트러스트 보안모델이 확산할 수 있도록 지원하겠다"고 말했다.