국산 제로트러스트 솔루션, 효과 검증…디도스·신원도용 방어력↑

과기정통부·KISA, 국산 제로트러스트 모델 2종 발표
구축형·클라우드형, 디도스·크레덴셜스터핑 등 방어력 입증
"국산 모델 발전 및 국내기업 해외진출도 지원"

임종철 디자이너 /사진=임종철 디자이너

'아무도 믿지 말라'(Zero Trust)라는 대원칙 하에 서버, 컴퓨팅 서비스에 대한 접근을 매 단계마다 제어하는 제로트러스트 보안 시스템을 국산 솔루션으로만 운영한 결과 디도스(DDoS, 분산서비스거부공격) 등 사이버 위협을 막는 효과가 검증됐다.

과학기술정보통신부와 KISA(한국인터넷진흥원)는 11일 서울 여의도 페어몬트 앰버서더 서울 호텔에서 열린 '제로트러스트 보안 모델 실증 성과 공유회'에서 국내 기업망 환경에 적용할 수 있는 '제로트러스트 기본모델 2종'을 발표했다며 이같이 밝혔다.

제로트러스트란 정보시스템에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고 매 단계별 접속요구를 지속 검증하도록 설계하라는 보안 운용 철학이자 이같은 철학을 운용하도록 만들어진 솔루션을 의미한다. 제로트러스트는 △아이디·비밀번호 외에도 다양한 인증정보를 활용한 다중 인증 구축 등 강화된 인증을 도입하고 △서버 및 컴퓨팅 서비스 등을 작은 단위로 분리 운용토록 하는 '마이크로 세그멘테이션'을 구현하며 △소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만드는 '소프트웨어 정의 경계'를 구현하는 것을 주 내용으로 한다.

과기정통부와 KISA는 2개 컨소시엄을 중심으로 국내 실제 기업망 환경에 제로트러스트 보안 모델을 검증하는 사업을 진행했다. 글로벌 보안 기업들이 제로트러스트 시장 선점을 위해 노력하는 가운데 국산 보안 제로트러스트 모델의 효과성을 확인, 수입 대체효과를 도모하고 향후 글로벌 시장으로의 진출을 위한 초석을 다진다는 차원에서였다.

이번에 검증된 모델은 구축형과 클라우드형 등 2가지가 있다. SGA솔루션즈 , 소프트캠프 , 지니언스 , 에스지앤 등 4개사가 참여한 구축형 솔루션은 접속 요구자의 보안 수준을 점수화해 접속 단계에서부터 보안을 강화하고 접속 중이라도 점수에 변경이 생기면 접속을 차단하거나 접속 가능한 리소스를 제한하는 동적 인증체계를 구축하는 내용으로 설계됐다. 이를 통해 '크리덴셜 스터핑'(기 획득한 아이디·비밀번호로 다른 서비스에 접속하려는 공격)을 차단하고 시스템, 애플리케이션, 데이터 등에 횡적 이동이 차단됐다는 게 과기정통부 등의 설명이다.

프라이빗테크놀로지 및 타이거컴퍼니 컨소시엄이 참여한 클라우드형은 국내외에 특허로 등록된 제로트러스트 모델이 적용됐다. 기존 무선통신 및 클라우드 환경에서는 디도스 공격 및 횡적이동 공격으로 요금 과다청구 등 문제가 생기곤 했다. 클라우드형 솔루션은 서비스, 서버, 애플리케이션, 데이터 등을 각각 논리적으로 분리보호하고 PEP(정책 실행지점)가 탑재된 제로트러스트 전용 라우터를 세계 최초로 개발·적용, 보안 수준을 향상시켰다는 평가를 받았다. 이를 통해 라우터·단말에 대한 접근이 제어돼 멀웨어 감염을 차단하고 디도스 공격 등을 차단하는 데 효과가 있었다.

이와 함께 과기정통부는 각 실증 사례에 참여한 기업들이 자체 개발해 적용한 검증방법 외에도 제로트러스트 보안 모델의 객관적 보안 효과성 검증을 위해 관련 전문기업을 참여시켰다.


홍진배 과기정통부 네트워크정책실장은 "전 세계 국가들이 제로트러스트 보안모델을 도입하기 위해 국가적 차원에서 노력하고 있고, 글로벌 기업들은 신시장을 선점하려고 경쟁한다"며 "향후 제로트러스트 성숙도 모델을 계속 발전시켜나가고, 국산 제로트러스트 보안모델의 성공적인 확산을 지원해 국가적인 차원의 사이버보안 수준을 한 단계 높이며 국내 기업의 체계적인 해외진출도 지원할 것"이라고 했다.