‘누구도 믿지 말고 검증하라’...제로트러스트 본격화

[산업일보]
정부가 새로운 디지털 환경에 대응하기 위해 정보 보안을 강화한다.

과학기술정보통신부는 지난해 10월 국내 산·학·연·관 전문가로 구성된 '제로트러스트포럼'을 마련하고 미국, 유럽, 일본 등의 동향 분석, 자료검토, 토론회 등을 통해 의견을 모아 국내 환경에 적합한 '제로트러스트 가이드라인 1.0'을 마련했다고 10일 밝혔다.

제로트러스트(Zero Trust)는 정보 시스템 등에 대한 접속 요구가 있을 때, 네트워크가 침해된 것으로 간주하는 모델이다. 이는 '절대 믿지 말고, 계속 검증하라'는 새로운 보안 개념이다.

기존 경계 기반 보안 모델은 침입자가 정보시스템에 접속하고 나면 내부 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있어 데이터가 외부로 유출될 위험이 있다. 이를 보완하기 위해 제시된 제로트러스트 모델은 서버 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호하며, 이를 통해 하나의 자원이 해킹돼도 인근 자원은 보호할 수 있다.

해당 모델은 ‘제어영역’과 ‘데이터 영역’으로 구분돼야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야 한다.

정부는 향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려해 '제로트러스트 가이드라인 2.0'을 준비하는 등 지속적으로 보완·고도화해 나갈 방침이다.

과기정통부 김성환 사무관은 본지와의 통화에서 “기존 보안체계는 데이터 접속 후, 인증 제한이 자유롭다는 점에서 보안 위협의 사고율이 높다. 원격 및 재택근무가 일상화되고 있는 이 시점에 새로운 보안 패러다임이 필요하다”라고 말했다.

이어 “제로트러스트 모델은 기술적 완성도가 중요하기 때문에 아무래도 시간과 투자가 많이 필요하다”면서 “빠르고 효과적으로 기술을 적용하는 것은 물론, 국내 기업들이 이를 통해 레퍼런스를 쌓아 해외 수출의 판로를 열게끔 견인할 것”이라고 전했다.