"내부자 검증으로 기밀 유지"…제로트러스트 방법론 나왔다

(서울=뉴스1) 윤주영 기자 = 조직 내부자에도 정보시스템 접근 권한을 검증해 기밀 유출을 방지한다는 '제로트러스트' 보안 모델의 2.0 가이드라인이 나왔다. 기본 개념·원칙을 밝힌 1.0에서 발전시켜 모델 실증사례와 방법론 등을 담았다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 산·학·연 전문가들과 함께 국내·외 최신 동향, 도입 사례를 분석해 이번 가이드라인을 만들었다고 3일 밝혔다.

기존 보안 모델은 네트워크 내·외부를 구분해 내부자는 암묵적으로 신뢰하는 '경계 기반' 보안 방식이었다. 하지만 인공지능(AI)·클라우드 등 기술 도입에 더해 재택·원격 근무 확산으로 인해 기존 보안 모델의 한계가 지적됐다.

지난해 과기정통부는 가이드라인 1.0을 통해 제로트러스트의 필요성을 기업 등에 소개했다. 개념 구체성을 높이고자 실제 기업환경에 적용 후 검증하는 실증·시범사업도 진행했다.

이번 가이드라인은 본격적인 모델 확산을 목표로 제로트러스트 수요·공급 기관 의견을 반영했다.

먼저 개념을 정립한 미국 등 해외 사례뿐 아니라 도입 세부 절차, 방법론을 담아 수요자 관점에서의 도입 필요성을 높였다.

또 기업이 스스로 제로트러스트 수준을 진단·분석할 수 있도록 4단계로 구체화한 (제로트러스트) '성숙도 모델'을 마련했다. 기업망 핵심 요소에 필요한 세부 역량, 성숙도 수준별 특징, 체크리스트 등으로 이를 부연했다.

이 밖에도 기술적 방안을 설명하는 데 그치지 않고 도입 단계별 고려 사항, 조직 역할 등을 수록해 보안 모델의 정착까지 신경 썼다.

가이드라인은 과기정통부, KISA, 한국정보보호산업협회(KISIA) 홈페이지를 통해 무료로 내려받을 수 있다.

legomaster@news1.kr