|
마치 네이버에서 검색하듯 여러 부처로 나뉜 공공서비스를 한 곳에서 쉽게 서비스 받는 ‘디지털플랫폼정부’가 되려면, 보안이 가장 중요하다.
정부가 디지털화되면 데이터 기반의 과학적인 정책 결정이 가능해져 정부 생산성은 좋아질 테지만, 해킹 위협은 커질 수 있기 때문이다.
이 같은 걱정을 덜기 위해 정부가 국가적 차원에서 ‘제로트러스트’를 도입하기로 하고, 과학기술정보통신부가 ‘제로트러스트 가이드라인 1.0’을 발표했다.
제로트러스트가 머길래
제로트러스트(Zero Trust)는 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주한다. 절대 믿지 말고, 계속 검증하라는 새로운 보안개념(Never Trust, Always Verify)이다.
이는 네트워크의 내·외부를 구분하고 내부자에게 암묵적 신뢰를 부여하는 기존 경계 기반 보안모델과 전혀 다르다.
예전 모델에선 침입자가 내부자와 공모 또는 권한 탈취를 통해 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있었다.
다음은 이번에 발표된 ‘제로트러스트 가이드라인 1.0’ 주요 내용이다.
|
|
가이드라인 1.0 발표
제로트러스트 가이드라인 1.0은 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시하고 있다.
(핵심원칙) ① 강화된 인증(아이디/패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함)② 마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리)③ 소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야 함)를 말한다.
(접근제어 원리) 보호 대상 자원에 대한 접근 요구에 대해 접속을 허락할지 말지 결정하는 과정으로 제로트러스트 기본철학을 구현하는 가장 중요한 원리 중 하나다.
(핵심요소의 식별과 관리) 제로트러스트 도입을 검토하고 있는 기관 및 기업은 네트워크, 컴퓨팅 자원 중 어떤 요소를 어느 정도 보안수준으로 설계를 해야 할지, 관련 예산계획 수립, 도입 기간 중 진행상황 점검 등을 위한 지표가 필요하다. 이를 위해 식별자·신원, 기기, 네트워크, 시스템, 응용·네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의해 실질적인 정보를 제공할 수 있게 한다.
(도입 참조모델) 정부·공공 기관 및 기업 관계자들은 실질적인 도입 전략 수립 시 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시한다.
이를 위해 최근 우리나라에 일상화되어 있는 재택·원격지 근무 환경에 제로트러스트 보안모델을 적용한 네트워크에 침투 시나리오를 적용하여 제로트러스트 도입 시 보안성이 강화될 수 있음을 파악할 수 있게 했다.
하반기 통신·금융·공공 분야 검증
정부는 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄을 통해 6월부터 12월까지 통신·금융·공공 분야 등 다양한 환경에 제로트러스트 보안모델을 구현하고, 세계적 수준의 화이트 해커들이 공격 시나리오로 구성된 검증모델을 적용하여 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다.
과기정통부 박윤규 제2차관은 “국민의 일상생활 및 다양한 산업분야로 네트워크가 확장되는 상황에서 보안체계가 전환되어야 하는 패러다임 전환시기에 이런 상황에 적합한 대안을 찾아야 한다”면서 “과기정통부는 정부·공공 기관 및 기업들에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 보완·고도화하는 한편, 실증 사업을 통해 다양한 분야로 제로트러스트 보안모델이 확산할 수 있도록 지원하겠다”고 했다.