제로트러스트는 정보 시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고 '절대 믿지 말고 계속 검증하라'는 새로운 보안개념이다. 한 번 로그인으로 모든 시스템에 접속할 수 있는 게 아니라 접속하는 시스템마다 로그인을 다시 요구하는 방식이다.
이번 가이드라인 1.0에는 제로트러스트의 핵심 원칙을 △강화된 인증 △마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리) △소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야 함) 등으로 정의했다.
경계 보안 Vs 제로트러스트 보안 비교/자료=과기정통부
가이드라인은 또 제로트러스트 도입을 검토하는 기관·기업 관계자들이 실질적인 정보를 확보할 수 있도록 식별자·신원, 기기, 네트워크, 시스템, 응용·네트워크, 데이터 등 6개 핵심 요소에 대한 보안 수준의 성숙도 단계별 기능을 정의했다. 아울러 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시했다.
제로트러스트 접근제어 논리 컴포넌트 구성도/자료=과기정통부
이 시각 인기 뉴스
하반기에는 SGA솔루션즈 컨소시엄·프라이빗테크놀로지 컨소시엄과 통신·금융·공공 분야 등 다양한 환경에 제로트러스트 보안 모델을 구현한다. 이후 화이트 해커들이 공격 시나리오로 구성된 검증 모델을 적용해 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다.
박윤규 과기정통부 제2차관은 "과기정통부는 정부·공공기관 및 기업들에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속해서 보완·고도화하겠다"며 "실증사업을 통해 다양한 분야로 제로트러스트 보안모델이 확산할 수 있도록 지원하겠다"고 말했다.