(서울=뉴스1) 양새롬 기자 = 과학기술정보통신부와 한국인터넷진흥원(KISA)은 향후 보안 패러다임 전환을 위해 11일 국내 기업망 환경에 적용할 수 있는 '제로트러스트 기본모델'을 발표했다.
제로트러스트는 정보 시스템 등에 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, '절대 믿지 말고, 계속 검증하라'는 새로운 보안개념을 뜻한다.
올해 실증사업은 지난 7월 발표한 제로트러스트 가이드라인1.0에서 제시한 제로트러스트 보안모델을 실제 기업망 환경에 적용한 첫 사례다. 이번에 마련한 모델은 '클라우드형'과 '구축형' 등 두 가지다.
첫 번째 실증사례에는 국내외에 특허 등록한 제로트러스트 보안모델이 적용됐다. 기존 무선통신 및 클라우드 환경에서는 디도스공격 또는 횡적이동공격으로 인해 요금 과다청구 등의 문제가 있어 한 단계 높은 수준의 보안체계가 요구되는 상황이기 때문이다.
이에 보호해야할 서비스, 서버, 애플리케이션, 데이터 등을 각각 논리적으로 분리해 보호했고, 정책시행지점(PEP)이 탑재된 제로트러스트 전용 라우터를 세계 최초로 개발·적용했다.
해당 사례에는 국내 전문시험기관이 참여해 97개의 평가항목을 개발하고, 각 항목을 대상으로 현장 시험 및 확인을 통해 개선된 보안효과성을 확인했다.
두 번째 사례에는 국내 다수의 대표 보안기업이 참여해 개발한 보안모델이 적용됐다.
접속 요구자의 보안 수준을 점수화해 접속단계에서부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.
제로트러스트 성숙도모델을 기반으로 점검 항목 리스트를 개발하고 실증현장 점검을 통해 개선된 보안효과성을 확인했다. 보안솔루션 연동을 통해 다양한 기업환경에 적용할 수 있는 현장 맞춤형 제로트러스트 보안모델을 제공할 수 있다는 것도 입증했다.
아울러 과기정통부는 실증사업의 보안효과성 검증을 위한 침투시나리오 및 보안성 점검 체크리스트를 개발·적용해 보안성 검증체계를 발전시켜나갈 수 있는 기반을 마련했다.
과기정통부는 국제적으로 제로트러스트 보안모델 보안효과성 검증을 위한 표준화된 검증방법이 없는 상황에서 국내 기업이 개발한 제로트러스트 보안효과성 검증방안이 향후 국제 표준화에 기여할 수 있도록 더 발전시켜 나간다는 계획이다.
홍진배 과기정통부 네트워크정책실장은 "국가 차원의 사이버보안 수준을 한 단계 높이고 국내 기업의 체계적인 해외진출도 지원하겠다"고 말했다.
flyhighrom@news1.kr
