제로트러스트 2.0 가이드라인, 내달 발표…어떤 내용 담길까
등록 2024.11.26 16:43:27
과기정통부·KISA 제로트러스트 가이드라인 2.0 공개 임박
1.0에서 '개념' 설명했다면 2.0에서는 '도입 방법' 소개
(사진=유토이미지) *재판매 및 DB 금지
[서울=뉴시스]송혜리 심지혜 기자 = '아무것도 믿지 말고, 계속 검증하라.'
새로운 정보보호 패러다임 '제로트러스트(Zero Trust)'의 핵심이다. 이같은 보안 패러다임에 대응하기 위한 우리 정부의 가이드라인이 한단계 업그레이드 된다. 기존 개념을 알리는 데 중점을 뒀던 '제로트러스트 가이드라인 1.0'에 이어 도입과 확산에 방점을 찍은 '가이드라인 2.0'이 다음 달 공개될 예정이다.
모든 접속과 활동을 의심…새로운 보안 패러다임
제로트러스트 보안은 모든 접속과 활동을 의심하고 지속적으로 검증함으로써 변화하는 디지털 환경과 사이버 위협에 대응할 수 있는 최신 보안 전략이다. 해커가 네트워크 내·외부 어디든 존재할 수 있으며 모든 접속 요구는 신뢰할 수 없다는 가정 하에, 보호해야 할 모든 데이터와 컴퓨팅 서비스를 각각 분리·보호한다.
기존 전통적인 보안체계는 '입구만 잘 지키는' 형태였다면, 제로트러스트 모델은 시스템 관문마다 문지기를 세운다는 것이 다른 점이다. 서버, 컴퓨팅 서비스·데이터 등을 각각 분리·보호하기 때문에 특정 시스템이 뚫린다 해도 다른 시스템은 지킬 수 있다. 신원이 확인된 사용자라 할 지라도 최소한의 접근권한만 부여하고, 다양한 추가인증 절차를 두기 때문에 내부자와의 공조도 쉽지 않다.
이러한 형태에 따라 제로트러스트 보안 모델은 클라우드 컴퓨팅, 원격근무, 사물인터넷(IoT) 등의 확산으로 경계가 모호해지면서 주목받게 됐다. 특히 엔비디아, 마이크로소프트(MS), 삼성전자, LG전자 등 글로벌 대형 정보기술(IT) 기업이 연달아 해킹 공격을 당하는 등 기존 보안 모델로 막기 힘든 공격이 등장하면서 차세대 핵심 보안모델로 인정받고 있다. 미국, 유럽 등에서는 다양화·지능화되는 사이버위협에 대응할 수 있는 보완 수단으로 제로트러스트 보안 모델을 앞다퉈 도입하고 있다.
시장 조사업체 마켓앤마켓에 따르면 글로벌 제로트러스트 보안 시장 규모는 지난해 311억달러(약 42조원)에서 2028년 679억달러(약 92조원)로 연평균성장률(CAGR) 16.9%를 기록할 전망이다.
국내도 제로트러스트 보안을 주목하고 있다. 앞서 과기정통부는 KISA와 함께 지난해 7월 민간에서 활용할 수 있는 '제로트러스트 가이드라인 1.0'을 마련해 발표한 바 있다.
이를 통해 과기정통부와 KISA는 아이디, 패스워드 외 다양한 인증 정보를 활용하는 '인증 체계 강화', 각각의 IT자원을 단독적으로 배치하고 각종 접근에 대해 지속적으로 검증하는 '마이크로 세그멘테이션(Micro Segmentation)', 소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만드는 '소프트웨어 정의 경계'등 세가지 핵심원칙을 제시했다.
어떻게 도입하고 고도화 할 수 있는 방법론 제시
앞서 KISA 측은 2.0 가이드라인 발간 원칙으로 ▲제로트러스트를 실제 도입할 수요자가 쉽게 이해할 수 있도록 실증 결과를 기반으로 한 단계별 도입 방안 제시 ▲제로트러스트 성숙도 모델에 따른 보안 기능을 정의하고 기업의 망 구조에 따른 개별 모델 설정 개선안 제시 등을 꼽았다.
아울러 ▲성숙도 기반의 수준 평가, 모의 침투시험, 기존 보안 인증체계와 연계한 통제항목 기반 검증 방안 제시 ▲해외 사례, 특허 동향 등 제로트러스트 공급 기업과 수요 기업이 제품 개발 및 도입 과정에서 고려 사항을 포함해 향후 기술 발전 방향을 예측하는데 도움이 될 수 있도록 작성 등도 원칙으로 포함했다.
이를 바탕으로 KISA는 가이드라인의 주요 목차(안)으로 제로트러스트 도입 시 고려 사항, 도입 준비 방안(도입·운영 시 유의사항 등), 도입 수준 분석(효과성 분석 등), 참조모델·글로벌 동향 등을 공개하기도 했다.
◎공감언론 뉴시스 [email protected], [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
