도입계획 수립 세부절차
도입 참조모델 등을 제시
![박윤규 과학기술정보통신부 제2차관이 7일 서울 중구 한국지능정보사회진흥원 서울사무소에서 열린 '제로 트러스트 현장간담회' 에서 인사말을 하고 있다. [사진=과기정통부]](/news/photo/202307/114911_67550_5644.jpg)
[정보통신신문=최아름기자]
과학기술정보통신부가 국내 환경에 적합한 ‘제로트러스트 가이드라인 1.0’을 마련했다. 네트워크 보안 도입계획에 어려움을 겪었던 기관 및 기업들에 실질적인 도움이 될 수 있을 것으로 보인다.
제로트러스트(Zero Trust)는 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, “절대 믿지 말고, 계속 검증하라”는 새로운 보안개념(Never Trust, Always Verify)이다.
기존 경계 기반 보안모델은 침입자가 내부자와 공모 또는 권한 탈취를 통해 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있어서 악의적 목적을 위해 데이터가 외부로 유출될 수 있다.
경계기반 보안모델은 신뢰하는 자원(내부망)과 신뢰하지 않은 자원(외부망) 사이에 보안 경계를 세우는 방식으로, 내부자 공모 또는 권한탈취 후 침투, 권한상승 및 횡적이동을 통한 데이터 유출이 가능하다.
반면에 제로트러스트 보안모델은 모든 자원의 경계를 구분해 분리・보호, 하나의 자원에 접속한 후에는 정해진 권한만큼만 활동이 가능하고, 인근 자원에 대한 추가 접속 요구 시 지속적 인증으로 침투를 제한한다.
![[출처=과기정통부]](/news/photo/202307/114911_67547_5418.jpg)
이를 통해 하나의 자원이 해킹됐다고 하더라도 인근 자원은 보호할 수 있으며, 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디‧패스워드 외에도 다양한 정보를 이용해 인증하는 방식으로 보안수준을 높일 수 있다.
이번에 마련된 제로트러스트 가이드라인 1.0은 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시하고 있다.
핵심 원칙은 △강화된 인증 △마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리) △소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야 함)다.
![[출처=과기정통부]](/news/photo/202307/114911_67546_5418.jpg)
안전하고 지속적인 접근제어를 위해서 제로트러스트 보안모델은 ‘제어영역’과 ‘데이터 영역’으로 구분되어야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야 한다.
PDP는 정책엔진(PE)과 정책관리자(PA)로 나뉘며, PE는 신뢰도를 판단해 접속 허가를 최종 결정하고, PA는 PEP에 명령해 정책을 실행한다.
PDP는 PEP 및 다양한 보안솔루션(SIEM, C-TAS, IAM, LMS 등)에서 생성한 보안 정보 등을 바탕으로 한 ‘신뢰도 평가’를 통해 자원 접근 여부를 결정하고, 접근 허가 후에는 양방향 보안 통신경로를 생성한다.
제로트러스트 도입을 검토하고 있는 기관 및 기업의 관계자들은 네트워크, 컴퓨팅 자원 중 어떤 요소를 어느 정도 보안수준으로 설계를 해야 할지, 관련 예산계획 수립, 도입 기간 중 진행상황 점검 등을 위한 지표를 필요로 한다.
![[출처=과기정통부]](/news/photo/202307/114911_67548_5418.jpg)
이를 위해 식별자・신원, 기기, 네트워크, 시스템, 응용・네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의해 실질적인 정보를 제공할 수 있도록 했다.
정부·공공 기관 및 기업 관계자들은 실질적인 도입 전략 수립 시 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시해 제로트러스트 도입 전후 네트워크 구조 변화 및 보안 효과성 등을 확인할 수 있다.
이를 위해 최근 우리나라에 일상화돼 있는 재택・원격지 근무 환경에 제로트러스트 보안모델을 적용한 네트워크에 침투 시나리오를 적용해 제로트러스트 도입 시 보안성이 강화될 수 있음을 파악할 수 있게 했다.
이번 가이드라인 1.0은 7월10일부터 과기정통부, KISA 및 유관기관 홈페이지를 통해 이용할 수 있으며, 향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려해 ‘제로트러스트 가이드라인 2.0’을 준비하는 등 지속적으로 보완・고도화해 나갈 계획이다.
하반기에는 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄은 올해 6월부터 12월까지 통신・금융・공공 분야 등 다양한 환경에 제로트러스트 보안모델을 구현하고, 세계적 수준의 화이트 해커들이 공격 시나리오로 구성된 검증모델을 적용해 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다.
박윤규 과기정통부 제2차관은 “국민의 일상생활 및 다양한 산업분야로 네트워크가 확장되는 상황에서 보안체계가 전환돼야 하는 패러다임 전환시기에 이런 상황에 적합한 대안을 찾아야 한다”면서, “과기정통부는 정부·공공 기관 및 기업들에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속적으로 보완·고도화하는 한편, 실증 사업을 통해 다양한 분야로 제로트러스트 보안모델이 확산될 수 있도록 지원하겠다”고 말했다.
