전체메뉴

[애플경제 이보영 기자]과학기술정보통신부(과기정통부)가 이른바 ‘제로트러스트 가이드라인 1.0’을 제시했다.

이는 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 담고 있다.

제로 트러스트는 조직이나 경계 내․외부를 구분하지 않고, 액세스를 가시화하고 실시간으로 검증하는 것이다.

이에 따르면 제로트러스트 보안을 위해 ▲강화된 인증(아이디/패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함), ▲ 마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리), ▲ 소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야함)를 제시했다.

이를 통해 우선 ‘접근제어 원리’를 강조했다. 이는 보호 대상 자원에 대한 접근 요구에 대해 접속을 허락할지 말지를 결정하는 과정으로 제로트러스트의 기본철학이다.

안전하고 지속적인 접근제어를 위해서 제로트러스트 보안모델은 ‘제어영역’과 ‘데이터 영역’으로 구분되어야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야 한다.

또 핵심요소의 식별과 관리를 강조했다. 즉, 제로트러스트 도입을 검토하고 있는 기관 및 기업의 관계자들은 네트워크, 컴퓨팅 자원 중 어떤 요소를 어느 정도 보안수준으로 설계를 해야 할지, 관련 예산계획 수립, 도입 기간 중 진행상황 점검 등을 위한 지표를 필요로 한다.

이를 위해 식별자･신원, 기기, 네트워크, 시스템, 응용･네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의하여 실질적인 정보를 제공할 수 있도록 하였다.

그런 과정에서 참조할 만한 ‘도입 참조모델’도 제시했다. 즉 정부·공공 기관 및 기업 관계자들은 실질적인 도입 전략을 수립할 때 참고할 수 있는 실제 네트워크 모델과, 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시했다. 그래서 제로트러스트 도입 전후 네트워크 구조 변화 및 보안 효과성 등을 확인할 수 있다.

“이를 위해 최근 우리나라에 일상화되어 있는 재택･원격지 근무 환경에 제로트러스트 보안모델을 적용한 네트워크에 침투 시나리오를 적용하여 제로트러스트 도입 시 보안성이 강화될 수 있음을 파악할 수 있게 했다.”는 것이다.

이번 과기정통부의 가이드라인 제시에 앞서 미국 표준기술연구소(NIST)는 이미 몇 가지 원칙을 규정한 바 있다.

우선 효율성을 위해 (조직 내․외부의) 데이터 소스와 컴퓨팅 서비스는 모두 리소스로 본다는 원칙을 제시했다. 또 ▲ 네트워크 장소에 관계 없이 통신은 모두 보호하되, ▲ 조직의 리소스에 대한 엑세스는 모두 개별 세션마다 허가하도록 한다. 또한 ▲ 리소스에 대한 액세스는 정적이 아닌, 동적인 정책에 의해서 결정하도록 한다.

과기정통부의 이번 가이드라인 1.0은 7월10일부터 과기정통부, KISA 및 유관기관 홈페이지를 통해 이용할 수 있다. “향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려하여 「제로트러스트 가이드라인 2.0」을 준비하는 등 지속적으로 보완･고도화해 나갈 계획”이라는 설명이다.