정부, 국산 제로트러스트 보안모델 2종 공개

홍진배 과기정통부 네트워크정책실장(사진=과학기술정보통신부)

[이데일리 김가은 기자] 과학기술정보통신부는 한국인터넷진흥원(KISA)과 국내 기업망 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’을 발표했다고 11일 밝혔다.

제로트러스트 보안모델은 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주한다. 불신을 기반으로 지속적인 검증을 수행하는 새로운 보안 개념이다.

올해 실증 사업은 지난 7월 과기정통부와 KISA가 발표한 ‘제로트러스트 가이드라인1.0’을 기반으로 통신, 금융 등 국민 생활과 밀접한 분야에 국산 제로트러스트 보안모델을 적용·실증한 첫 사례다.

이번에 마련된 모델은 클라우드형과 구축형(온프레미스) 등 크게 2가지다. 또한 실증사업의 보안효과성 검증을 위한 침투시나리오와 보안성 점검 체크리스트를 개발·적용해 기반을 다졌다.

먼저 클라우드형 업무환경을 위한 모델은 국내외 특허를 등록했다. 기존 무선통신과 클라우드 환경에서는 분산서비스거부(디도스)공격 또는 횡적이동공격으로 인해 요금 과다청구 등 문제가 존재했다. 이를 위해 정부는 보호해야할 서비스, 서버, 애플리케이션(앱), 데이터 등을 각각 논리적으로 분리해 보호했다. 뿐만 아니라 정책시행지점(PEP)이 탑재된 제로트러스트 전용 라우터를 개발·적용해 보안 수준을 크게 향상시켰다.

구축형 업무 환경을 위한 제로트러스트 기본 모델은 국내 다수 보안기업이 참여해 개발한 보안모델을 적용했다. 접속 요구자 보안 수준을 점수화해 접속단계부터 보안을 강화했다. 접속 중에라도 점수에 변경이 생기면 차단 또는 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.

올해 제로트러스트 보안모델 실증사업에서는 각 실증사례에 참여한 기업들이 자체적으로 개발한 검증방법 외에 보안효과성 검증 전문기업도 참여했다. 객관성을 살리기 위한 조치다.

홍진배 과기정통부 네트워크정책실장은 “전 세계 국가들이 제로트러스트 보안모델을 도입하기 위해 국가적 차원에서 노력하고 있고, 글로벌 기업들은 신시장을 선점하려고 경쟁하고 있다”며 “과기정통부는 향후 제로트러스트 성숙도 모델을 계속 발전시켜나가고, 국산 모델의 성공적 확산을 지원해 국가적 차원의 사이버보안 수준을 한 단계 높이는 한편, 국내 기업 체계적 해외진출도 지원하겠다”고 했다.