과학기술정보통신부와 한국인터넷진흥원(KISA)은 향후 제로트러스트 보안 패러다임 전환을 위해 국내 기업망 환경에 적용할 수 있는 제로트러스트 기본모델 2종을 발표했다고 11일 밝혔다.
올해 실증사업은 제로트러스트 가이드라인1.0에서 제시한 제로트러스트 보안모델을 실제 기업망 환경에 적용한 첫 사례다.
이번에 마련된 모델은 크게 클라우드형과 구축형 등 2가지 실증사례를 기반으로 개발됐다. 아울러 보안효과성 검증을 위한 침투시나리오 및 보안성 점검 체크리스트를 개발·적용해 제로트러스트 모델 확산 기반을 마련했다는 설명이다.
우선 클라우드형 업무환경을 위한 모델은 국내외에 특허를 등록한 모델이다. 기존 무선통신 및 클라우드 환경에서는 디도스(분산서비스거부·DDoS)공격 또는 횡적이동공격으로 요금 과다청구 등의 문제가 있어 한단계 높은 수준의 보안 체계가 요구된다. 이를 위해 보호해야 할 서비스, 서버, 애플리케이션(앱), 데이터 등을 각각 분리해 보호하도록 했다. PEP(정책시행시점)가 탑재된 제로트러스트 전용 라우터를 개발·적용했다.
구축형 업무환경을 위한 제로트러스트 기본모델은 국내 다수의 대표 보안기업이 참여해 개발한 보안 모델이다. 접속 요구자의 보안 수준을 점수화해 접속단계에서부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.
올해 제로트러스트 실증 사업에는 보안모델의 객관성을 살리기 위해 보안효과성 검증 전문기업도 함께 참여, 침투시나리오와 함께 개선된 보안성을 점검할 수 있는 점검리스트도 함께 개발했다. 이를 국제 표준화에 기여할 수 있도록 발전시켜 나갈 계획이다.
홍진배 과기정통부 네트워크정책실장은 "전 세계 국가들이 제로트러스트 보안모델을 도입하기 위해 국가적 차원에서 노력하고 있고, 글로벌 기업들은 신시장을 선점하려고 경쟁하고 있다"며 "과기정통부는 향후 제로트러스트 성숙도 모델을 계속 발전시켜 나가고, 국산 제로트러스트 보안모델의 성공적인 확산을 지원해 국가적인 차원의 사이버보안 수준을 한단계 높이는 한편, 국내 기업의 체계적인 해외진출도 지원하겠다"고 밝혔다.
jhyuk@fnnews.com 김준혁 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지