|
보안 모델에 대한 실증과 검증 사업 계획도 구체화했다. 국내기업들로 구성한 컨소시엄이 수요 기업·기관 특성에 따른 제로트러스트 보안 모델을 구축한다. 이후 외부 모의 침투 테스트를 수행해 효과를 검증하겠다는 계획이다.
7일 서울 광화문 한국지능정보사회진흥원(NIA) 사무소에서 열린 ‘제로 트러스트 현장 간담회’에서 박윤규 과학기술정보통신부 제2차관은 “올해 2개 컨소시엄이 7개 환경에 제로 트러스트를 적용하고 침투 시나리오 기반 테스트로 검증해 향상된 보안성을 입증할 것”이라며 “올해 실증 사업에서는 다양한 보안 솔루션 조합과 조정을 통해 기존 경계형 보안 체계와 비교하고, 국내에 적합한 활용 사례를 제시할 것”이라고 강조했다.
제로 트러스트는 기존 경계형 보안 체계에서 나타난 한계를 극복하기 위한 방법론이다. 외부 침입을 막는데 치중해왔던 경계형 보안 모델은 내부 유출자 또는 권한을 탈취한 후 침투한 공격자를 식별·차단하지 못해 피해를 키워왔다는 지적을 받는다. 지난해 발생한 국제 해커조직 ‘랩서스(LAPSU$)’ 사태가 대표적이다.
반면 제로 트러스트 보안은 공격자가 기관과 기업의 내외부, 모든 환경에 존재한다는 ‘불신’이 기본 원칙이다. 데이터와 컴퓨팅 서비스에 접속하려는 모든 사용자와 기기 활동을 지속적으로 모니터링하는 것은 물론, 끊임없는 검증과 접근제어를 통해 최소한의 권한만을 부여, 공격 활동을 제한하는데 초점을 맞추고 있다.
이날 과기정통부가 공개한 ‘제로트러스트 가이드라인 V1.0’은 크게 △추진 배경 △제로트러스트 소개 △제로트러스트 아키텍쳐 설명 △도입 계획 △참조 모델 예시 등으로 이뤄졌다. 국내 기업·기관이 제로 트러스트 아키텍처 도입에 대한 시행착오를 줄이도록 안내하기 위한 목적이다. 전체본은 오는 10일 과기정통부, 한국인터넷진흥원(KISA), NIA 홈페이지에 공개될 예정이다.
가이드라인은 요약본과 전체본 두 가지로 발간했다. 요약본은 보안 전문가 외에 일반인들도 쉽게 이해할 수 있도록 정리한 버전이다. 전체본에는 더 상세한 내용이 담겨 전문가들이 활용할 수 있도록 구성했다.
이석준 제로 트러스트 정책제도 분과장은 “국내에서 많은 전문가와 기업, 학교에 제로 트러스트 개념을 물으면 명확하게 답을 내리지 못하는 경우가 많다”며 “가이드라인은 이 같은 점을 채우기 위한 수단”이라고 설명했다.
제로 트러스트 보안 모델을 실제로 구축하고, 검증하는 실증·검증 절차도 진행된다. 국가 표준화 작업을 위한 포석이다. 실증 사업은 국내 기업들로 구성한 컨소시엄과 수요기업을 중심으로 이뤄진다. 컨소시엄 주관사는 SGA 솔루션즈가 맡았다. 또 SGN, 지니언스, 소프트캠프가 참여했다. 수요기관은 NHN클라우드, 넷마블, 부동산114, 예스티 등이다.
차세대 통신 환경에 대한 제로 트러스트 보안 실증사업은 프라이빗테크놀로지와 한글과컴퓨터, 네이버클라우드, 메가존클라우드 등으로 구성된 한국IoT융합사업협동조합이 맡았다. 수요기관은 LG유플러스, NIA, 한국주택금융공사 등이다.
제로 트러스트 보안 모델을 구축한 이후에는 안정성에 대한 검증 사업이 진행된다. 국내 침투테스트 컨설팅, 악성코드 분석, 보안기술 연구 전문기업 엔키가 모의 침투 테스트를 진행한 뒤 제로 트러스트 보안 모델 적용 전과 후 효과를 분석할 예정이다.
박 차관은 “과기정통부는 내년부터 상당한 규모의 예산을 제로 트러스트 보안에 배정할 수 있도록 당국과 협의 중”이라며 “제로 트러스트가 새로운 보안 체계로 확립될 수 있도록 노력하겠다”고 말했다.