베일 벗은 'K-제로 트러스트'…과기정통부, 가이드라인 공개

[아이뉴스24 김혜경 기자] "제로트러스트(Zero-Trust) 아키텍처의 기본 철학은 유지하되 국내 환경을 고려해 시스템과 망분리 등을 추가했다. 시스템 요소에 대한 제로 트러스트 모델을 고려함으로써 보안성을 개선할 수 있을 것으로 보고 있다."

이석준 가천대 컴퓨터공학부 교수는 7일 서울 종로구 한국지능정보사회진흥원(NIA) 서울사무소에서 열린 간담회에서 '제로트러스트 가이드라인 1.0'을 설명하며 이같이 밝혔다. 지침서 전문은 오는 10일 공개될 예정이다.

제로트러스트란 신뢰성이 보장되지 않은 네트워크 환경을 가정해 최소한의 권한을 부여하는 등 기존 경계 기반 보안 모델을 보완할 수 있는 체계다. 2010년 포레스터(Forrester) 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 창안했으며 '아무도 신뢰하지 않는다'는 원칙을 전제로 모든 접근을 잠재적 보안 위협으로 판단하는 개념이다.

보안 패러다임 전환이 시급한 이유는 클라우드 컴퓨팅, 사물인터넷(IoT) 기기 급증으로 네트워크가 확장되면서 내부 시스템에 침투한 해커를 정상적인 이용자로 신뢰, 피해를 입는 기업이 늘고 있기 때문이다. 내‧외부의 네트워크 경계가 모호해지는 현상이 발생하면서 제로트러스트가 10년 만에 다시 부상하고 있는 셈이다.

이 교수는 "사실 제로트러스트를 바라보는 관점이 조금씩 달라 미국에서도 혼란을 겪고 있는 상황"이라며 "이번 지침서는 국내 환경에 적합한 보안 아키텍처를 도입할 수 있도록 컨센서스를 구축한다는 데 의의를 두고 있다"고 말했다. 2021년 5월 바이든 행정부는 연방정부의 사이버보안을 강화하기 위해 제로트러스트와 공급망 보안을 추진하는 행정명령을 발표한 바 있다.

그는 "미국표준기술연구소(NIST) 등을 참고해 기본 원칙을 유지하되 핵심 요소에 '시스템'을 추가한 점이 특징"이라고 말했다. 제로트러스트 핵심 요소와 교차 기능은 ▲네트워크 ▲데이터 ▲응용‧워크로드 ▲식별자‧신원 ▲기기‧엔드포인트다. 한국형 제로트러스트 모델에는 시스템이 추가된다는 설명이다.

제로트러스트는 특정 제품에 종속되지 않으며, 기술적인 접근 외에도 조직 문화와 프로세스 개선도 포함된다. 이 교수는 "명시적인 신뢰 확인 후 리소스 접근을 허용하고 일관된 접근제어 결정과 실행이 필요하다"며 "최소 권한을 부여하는 등 세밀한 접근제어와 모든 상태에 대한 모니터링, 로그 기록을 통한 신뢰성을 검증‧제어해야 한다는 점이 핵심원칙"이라고 전했다.

이어 "가이드라인 1.0은 새로운 보안 개념을 국내에 도입하기 위해 첫 삽을 뜨는 과정"이라며 "분야별 도입 전략과 로드맵, 구현 참조 모델을 지속적으로 구체화할 예정"이라고 덧붙였다.

박윤규 과기정통부 2차관은 "제로트러스트 도입 전후 보안성을 검토할 수 있도록 침투 테스트 등도 실시할 것"이라며 "내년 상반기 공개 예정인 '가이드라인 2.0'에 실증 결과 등을 담아 현장에서 참고할 수 있도록 적극 지원하겠다"고 말했다.