제로트러스트는 정보시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 '절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)'는 새로운 보안 개념이다. OT는 산업 설비와 공정을 실시간으로 제어·운영하는 기술로, 전력·교통·에너지 등 국가 주요 인프라의 안정적 운영에 핵심적 역할을 수행하고 있다.
과학기술정보통신부와 한국인터넷진흥원은 2023년 7월 제로트러스트의 기본개념과 원리, 핵심 원칙 등을 담은 '제로트러스트 가이드라인 1.0'을 마련했다. 지난 2024년 12월 실제 기업에서 제로트러스트 보안 모델을 활용하는 데 도움을 줄 수 있도록 실증사업 결과, 세부 도입 절차 및 방법론 등을 포함한 '제로트러스트 가이드라인 2.0'을 마련했다.
이번에 발표하는 안내서는 리소스·데이터 접근제어를 위한 지속적인 인증 및 동적 검증 등을 수행하는 기존 정보 기술(IT) 환경에서의 제로트러스트와는 달리 산업 현장 장비의 가용성과 실시간성을 요구하는 OT 환경의 특성을 고려한 국내 최초 OT 특화 제로트러스트 적용 방안을 제시했다.
이번 안내서는 OT 환경에 제로트러스트를 적용하기 위해 IT·OT 네트워크 계층을 구분하는 퍼듀 모델을 포괄하면서, 국내 산업 환경에 맞게제로트러스트 가이드라인 2.0의 6대 핵심요소를 기반으로 제로트러스트 요구사항을 제시하고, 추후 추가적인 연구를 통해 단계별 성숙도 모델로 발전시키는 것을 목표로 하고 있다.
미국 등 글로벌 선진국도 OT 보안을 중요하게 여겨 다양한 전략을 수행하고 있어, 이러한 움직임에 발맞춰 국내에서도 기존 제도를 보완함으로써 OT 보안 강화를 위한 선제적인 실증 연구·대응 방안 마련 등을 지속 추진해 나갈 예정이다.
이상중 한국인터넷진흥원장은 “이번 안내서가 국내 OT 보안에 대한 인식을 제고하고, 산업 현장의 OT 보안 수준을 한 단계 높이는 데 기여하길 바란다”며 “OT 환경의 제로트러스트 적용 필요성과 적용 방안 등을 정립한 안내서를 개발해 OT 보안의 패러다임 전환이 필요한 시점이며, 글로벌 선도국 지침을 참고한 세부내용 고도화 보안 안내서를 지속 개발해 나가겠다”고 했다.
mkchang@fnnews.com 장민권 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지