정부가 '절대 믿지 말고 계속 검증하라'는 의미의 새로운 보안 개념인 제로트러스트의 국내 도입을 본격화한다. 코로나19(COVID-19)와 러시아-우크라이나 전쟁 등을 거치며 다양한 방식의 사이버 위협이 증가한 만큼, 기존의 '경계 보안' 중심에서 '제로트러스트 체계'로 국가 차원의 사이버 보안 전략을 탈바꿈하는 흐름이다. 정부는 통신·금융·공공 분야 등 다양한 환경에서 제로트러스트 보안 모델을 창출하고, 이를 통해 효과성도 검증해 나갈 계획이다.
과학기술정보통신부는 9일 제로트러스트의 개념·보안원리·핵심원칙 등을 설명하는 '제로트러스트 가이드라인 1.0'을 마련했다고 밝혔다. 기존 경계 기반 보안 모델은 침입자가 내부자와 공모하거나 권한 탈취를 통해 정보시스템에 접속하면 내부 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있다. 악의적인 목적으로 접근해 데이터를 외부로 유출하기 쉬운 구조다.
반면 제로트러스트 기반 보안 모델은 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호해 하나의 자원이 해킹됐다고 하더라도 인근 자원은 보호할 수 있다. 또 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디·패스워드 외 다양한 인증 방식으로 보안 수준을 높일 수 있다.
제로트러스트 논의는 2021년 5월 조 바이든 미국 대통령이 '제로트러스트 아키텍처 구현' 중심의 행정명령을 내리면서 본격화됐다. 2020년 네트워크 관리 솔루션 제공 기업 솔라윈즈의 해킹 사고 여파였다. 국내에서도 삼성전자 반도체 기술 유출 시도 등 보안 사고가 이어졌다. 이에 과기정통부는 지난해 10월 산·학·연·관 전문가로 구성된 제로트러스트포럼을 구성하고, 가이드라인 마련을 추진해 왔다.
━
'가이드라인 1.0' 공개…3대 원칙, 6대 기업망 핵심 요소 제시━
보호 대상 자원의 접근 요구를 허락할지 말지 결정하는 '접근제어 원리'는 제로트러스트의 핵심 원리 중 하나다. 가이드라인은 '제어 영역'과 '데이터 영역'의 구분을 규정했다. 접근 여부를 결정하는 '정책결정지점(PDP)', 실제 접속을 시행하는 '정책시행지점(PEP)'을 따로 운영해야 한다는 것이다.
또 제로트러스트 도입을 검토하는 기관·기업 관계자들을 위해 식별자·신원, 기기, 네트워크, 시스템, 응용·네트워크, 데이터 등 6개 핵심 요소에 대한 보안 수준의 성숙도 단계별 기능을 정의했다. 이 중 '시스템'은 미국 정부의 가이드라인에도 포함되지 않은 요소로, 시스템 관리자의 계정 해킹을 통한 주요 파일 접근·훼손 사고를 대비한 차원이다.
아울러 정부·공공기관과 기업 관계자들이 참고할 수 있는 실제 네트워크 모델, 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 제시했다. 또 보유 자원에 대한 보안 위협을 줄이는 절차로 '위험 관리 프레임워크(NIST)'와 연계해 도입단계 검토가 가능하도록 했다.
━
"하반기 시험모델, 보안성 검증…가이드라인 2.0 만든다"━
하반기에는 SGA솔루션즈 컨소시엄·프라이빗테크놀로지 컨소시엄과 통신·금융·공공 등 다양한 환경에 제로트러스트 보안 모델을 구현한다. 이후 화이트 해커들이 공격 시나리오로 구성된 검증 모델을 적용해 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다.
지난 7일 현장간담회에서 박윤규 과기정통부 제2차관은 "올해 2개 컨소시엄이 7개 기업 환경에 제로 트러스트 보안 모델을 적용하는 한편, 제로 트러스트 보안 모델 적용 전후의 보안성을 검증할 수 있도록 침투 시나리오도 개발할 것"이라고 말했다. 아울러 "세계적 수준의 화이트 해커들을 실증 사업에 적용해 제로 트러스트로 인한 향상된 보안성을 입증하겠다"고 덧붙였다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]