국정원 내년 초 공개 목표로 공공용 가이드라인 마련 中
정부·공공기관에 구속력과 실행력 가져…2026년 범부처 확산
과기정통부 민간용 가이드라인에 공공용까지…내년이 원년
[서울=뉴시스]송혜리 기자 = 정부가 내년 초 공공용 '제로트러스트 보안 가이드라인'을 공개한다. 이 가이드라인에는 국가 공공기관에서 제로트러스트 보안을 구현하기 위한 정책 원칙과 요건에 관한 내용이 담길 예정이다. 내년부터 일부 부처별 제로트러스트 보안 모델 시범 적용을 시작하고, 2026년까지 범부처로 확산할 방침이다.
올해 과학기술정보통신부가 발표한 민간용 '제로트러스트 가이드라인 1.0'에 이어, 공공용 가이드라인도 마련됨에 따라 내년은 'K-제로트러스트 보안 모델' 확산 원년이 될 것으로 보인다.
올해 5월부터 연구반 운영…내년 초 공개 목표
제로트러스트 보안모델은 말 그대로 '아무것도 믿지 말고, 계속 검증하라'는 새로운 보안 개념이다. 해커가 네트워크 내·외부 어디든 존재할 수 있으며 모든 접속 요구는 신뢰할 수 없다는 가정 하에, 보호해야 할 모든 데이터와 컴퓨팅 서비스를 각각 분리·보호한다.
기존 전통적인 보안체계는 '입구만 잘 지키는' 형태였다면, 제로트러스트 모델은 시스템 관문마다 문지기를 세운다는 것이 다른 점이다. 서버, 컴퓨팅 서비스·데이터 등을 각각 분리·보호하기 때문에 특정 시스템이 뚫린다 해도 다른 시스템은 지킬 수 있다. 신원이 확인된 사용자라할 지라도 최소한의 접근권한만 부여하고, 다양한 추가인증 절차를 두기 때문에 내부자와의 공조도 쉽지 않다.
제로트러스트 보안 모델은 엔비디아, 마이크로소프트(MS), 삼성전자, LG전자 등 글로벌 대형 정보기술(IT) 기업이 연달아 해킹 공격을 당하는 등 기존 보안 모델로 막기 힘든 공격이 등장하면서, 차세대 핵심 보안모델로 인정받고 있다. 미국, 유럽 등에서는 다양화·지능화되는 사이버위협에 대응할 수 있는 보완 수단으로 제로트러스트 보안 모델을 앞다퉈 도입하고 있다.
국정원 관계자는 "국가사이버안보민관협의체 산하에 제로트러스트 분과를 구성, 민관 전문가들간 협의를 통해 가이드라인 마련을 준비 중으로 내년 초 발표할 계획"이라고 말했다.
지난 7월 민간용 가이드라인 발표…국내선 "아직 생소한 개념"
이를 통해 과기정통부와 KISA는 아이디, 패스워드 외 다양한 인증 정보를 활용하는 '인증 체계 강화', 각각의 IT자원을 단독적으로 배치하고 각종 접근에 대해 지속적으로 검증하는 '마이크로 세그멘테이션(Micro Segmentation)', 소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만드는 '소프트웨어 정의 경계'등 세가지 핵심원칙을 제시했다.
이들은 이달 국내 기업망 환경에 적용할 수 있는 '제로트러스트 기본모델 2종'도 발표했다.
이번에 마련한 보안 모델은 '제로트러스트 가이드라인 1.0'에서 제시한 내용을 통신, 금융 등 국민 생활과 밀접한 분야 실제 기업망 환경에 적용·실증해 도출했다. 모델은 클라우드형과 구축형(온프레미스) 등 두 가지로, 업무 환경에 상관없이 제로트러스트 보안모델을 적용할 수 있도록 했다.
한편, 유진호 상명대학교 교수가 최근 공개한 '국내 제로트러스트 관련 산업 실태 조사' 결과에 따르면, 제로트러스트는 여전히 생소한 개념으로 받아들여 지고 있다. 국내 정보보호공시 대상 기업 200개 중 6.5%만이 제로트러스트란 용어에 대해 자세히 알고 있다고 답했다. 62.5%는 제로트러스트 개념에 대해 모른다고 답했으며, 31%는 들어봤지만 자세히 모른다고 응답했다.
아울러 2.5%만이 현재 제로트러스트를 적용하고 있다고 답했으며 77%는 도입할 계획이 없다고 답했다. 17.5%는 도입의사는 있지만 어떻게 해야 하는지 모른다고 답했고, 3.0%는 현재 적용하고 있지는 않지만 구체적인 도입 계획이 있다고 응답했다.
◎공감언론 뉴시스 [email protected]