과기부가 국가적 차원에서 제로 트러스트 보안을 도입한다.
 
과학기술정보통신부는 작년 10월 국내 산학연관 전문가로 구성된 ‘제로 트러스트 포럼’을 구성해 글로벌 동향 분석, 자료검토, 토론회 등을 통해 의견을 모아 국내 환경에 적합한 ‘제로 트러스트 가이드라인 1.0’ 마련했다고 밝혔다.
 
또한 대통령 직속 디지털플랫폼정부위원회와 함께 지난 4월 ‘디지털플랫폼정부 실현계획’을 발표한 바와 같이 이번에 마련된 ‘제로 트러스트 가이드라인 1.0’을 각 분야로 확산시켜나갈 계획이다.
 
제로 트러스트(Zero Trust)는 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주한다. ‘절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)’는 보안 개념이다.
 
이는 비대면 업무가 활성화됨에 따라 새로운 보안모델로의 전환이 시급하다는 판단 하에 나왔다.
 
기존에는 네트워크 내부자에게 암묵적 신뢰를 부여하는 방식으로, 침입자가 내부자와 공모 또는 권한 탈취를 통해 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있어 악의적 목적을 위해 데이터가 외부로 유출될 수 있었다.
 
반면 제로 트러스트 보안모델은 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호한다. 이를 통해 하나의 자원이 해킹돼도 인근 자원은 보호할 수 있으며, 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디·패스워드 외에도 다양한 정보를 이용해 인증하는 방식이다.
 
제로 트러스트 가이드라인 1.0은 제로 트러스트의 △기본 개념 △보안원리 △핵심원칙 △접근제어원리 △도입계획 수립을 위한 세부절차 △도입 참조모델 등을 제시하고 있다.
 
이번 가이드라인 1.0은 7월10일부터 과기정통부, KISA 및 유관기관 홈페이지를 통해 이용할 수 있으며, 향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려하여 ‘제로 트러스트 가이드라인 2.0’을 준비하는 등 지속적으로 고도화해 나갈 계획이다.
 
하반기에 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄은 올해 6월부터 12월까지 통신·금융·공공 분야 등 다양한 환경에 제로 트러스트 보안모델을 구현한다. 화이트 해커들이 공격 시나리오로 구성된 검증모델을 적용해 제로 트러스트 도입 전후 보안 효과성을 검증할 계획이다.
 
과기정통부 박윤규 제2차관은 “국민의 일상생활 및 다양한 산업분야로 네트워크가 확장되는 상황에서 보안체계가 전환되어야 하는 패러다임 전환시기에 이런 상황에 적합한 대안을 찾아야 한다” 며, “과기부는 정부·공공 기관 및 기업들에게 실질적인 도움이 될 수 있도록 제로 트러스트 가이드라인을 지속적으로 보완·고도화하는 한편, 실증 사업을 통해 다양한 분야로 제로 트러스트 보안모델이 확산될 수 있도록 지원하겠다”고 말했다.