정부가 새로운 보안 개념인 제로트러스트 가이드라인을 마련했다. 코로나19로 인해 비대면 사회가 가속화됨에 따라 기존 보안모델로는 취약점에 대응하기에 한계가 있다는 판단 때문이다.
과학기술정보통신부는 지난해 10월 국내 산·학·연·관 전문가로 구성된 제로트러스트포럼을 구성하고 미국, 유럽, 일본 등의 동향 분석, 자료검토, 토론회 등을 통해 의견을 모아 국내 환경에 적합한 ‘제로트러스트 가이드라인 1.0’을 마련했다고 10일 밝혔다.
이에 앞서, 과기정통부는 대통령 직속 디지털플랫폼정부위원회와 함께 지난 4월 ‘디지털플랫폼정부 실현계획’을 발표하면서 새로운 디지털환경에서의 정보보안을 위해 국가적 차원의 제로트러스트 도입 추진을 밝힌 바 있다.
제로트러스트는 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고 ‘절대 믿지 말고, 계속 검증하라’는 새로운 보안개념이다.
모바일·사물인터넷(IoT) 기기, 클라우드 기반의 원격·재택 근무환경이 조성되고, 코로나19로 인해 비대면 사회가 가속화함에 따라 전통적으로 네트워크의 내·외부 경계를 구분하고 내부자에게 암묵적 신뢰를 부여하는 기존 경계 기반 보안모델은 한계에 도달해 새로운 보안모델로 전환이 필요한 상황이다.
제로트러스트 보안모델은 제로트러스트 보안개념을 토대로 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호한다.
이를 통해 하나의 자원이 해킹됐다고 하더라도 인근 자원은 보호할 수 있으며, 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디·패스워드 외에도 다양한 정보를 이용해 인증하는 방식으로 보안수준을 높일 수 있다.
미국, 유럽 등에서도는 다양화·지능화되는 사이버위협에 대응할 수 있는 보완수단으로 제로트러스트 보안모델 도입을 본격화하고 있다.
제로트러스트 가이드라인 1.0은 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시하고 있다.
핵심원칙에는 ‘절대 믿지 말고, 계속 검증하라’는 기본철학을 구현하기 위한 ▲강화된 인증(아이디·패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함) ▲마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리) ▲소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야함) 등의 내용이 들어갔다.
접근제어 원리는 보호 대상 자원에 대한 접근 요구에 대해 접속을 허락할지 말지를 결정하는 과정으로 제로트러스트 기본철학을 구현하는 가장 중요한 원리 중 하나다.
제로트러스트 보안모델은 ‘제어영역’과 ‘데이터 영역’으로 구분돼 운영할 것을 요구하는데, 자원 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야 한다.
과기정통부는 제로트러스트 도입을 검토하고 있는 기관 및 기업의 관계자들은 네트워크, 컴퓨팅 자원 중 어떤 요소를 어느 정도 보안수준으로 설계를 해야 할지, 관련 예산계획 수립, 도입 기간 중 진행상황 점검 등을 위한 지표를 필요로 한다면서, 이를 위해 식별자·신원, 기기, 네트워크, 시스템, 응용·네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의해 실질적인 정보를 제공할 수 있도록 했다고 설명했다.
가이드라인은 정부·공공 기관 및 기업 관계자들은 실질적인 도입 전략 수립 때 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시하고 있다.
이번 가이드라인 1.0은 10일부터 과기정통부, KISA 및 유관기관 홈페이지를 통해 이용할 수 있다.
과기정통부는 향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려해 제로트러스트 가이드라인 2.0을 준비하는 등 지속적으로 보완·고도화해 나갈 계획이다.
또, 하반기에는 세계적 수준의 화이트 해커들이 공격 시나리오로 구성된 검증모델을 적용해 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다.
박윤규 과기정통부 제2차관은 “국민의 일상생활 및 다양한 산업분야로 네트워크가 확장되는 상황에서 보안체계를 전환해야 하는 패러다임 전환시기에 이런 상황에 적합한 대안을 찾아야 한다”며 “정부·공공 기관 및 기업들에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속적으로 보완·고도화하는 한편, 실증 사업을 통해 다양한 분야로 제로트러스트 보안모델을 확산할 수 있도록 지원하겠다”고 밝혔다.