제로트러스트 수준 진단·방법론 담았다…과기정통부, 안내서 공개

[이데일리 최연두 기자] 기업과 기관의 보안 담당자가 제로트러스트 모델 도입 시 검토해야 할 사항이 담긴 정부 차원의 안내서가 마련됐다. 조직 내 제로트러스트 모델 수준을 높이기 위해 수행해야 할 조치 등도 구체적으로 명시했다.

과학기술정보통신부가 3일 공개한 ‘제로트러스트 가이드라인 버전2.0’ 내 인포그래픽(사진=과기정통부)

과학기술정보통신부와 한국인터넷진흥원(KISA)은 산·학·연 전문가와 국내외 동향, 도입 사례를 분석하고 수요·공급기관 대상 의견 수렴을 거쳐 국내 기업들이 제로트러스트 보안 모델을 도입하는데 참조할 수 있는 ‘제로트러스트 가이드라인 버전2.0’을 3일 공개했다.

이번 안내서는 기업에서 제로트러스트 보안 모델을 도입하고 활용하는데 실질적인 도움이 될 수 있도록 미국 등 해외 최신 정책 문서(전략, 지침 등)를 참고했다. 제로트러스트 기존 실증사업 결과를 포함해 도입을 위한 세부 절차와 방법론을 보강하는 등 제로트러스트 모델 적용을 희망하는 수요자 관점에서 구성했다.

특히 각 기업이 제로트러스트 보안 모델을 도입하고자 할 때 현재 수준을 진단·분석하거나 목표를 설정하고 검증하는 데 활용할 수 있도록 기존 3단계에서 4단계로 구체화된 ‘성숙도 모델’을 정의했다. 기업망을 구성하는 핵심 요소에 대한 세부역량과 성숙도 수준별 특징을 설명하는 한편, 평가를 위한 체크리스트와 향상 방안을 제시했다.

아울러 이번 안내서에는 제로트러스트 단계별 고려사항, 조직의 역할, 로드맵 수립을 위한 구체적 방법론 및 예시를 포함해 도입을 위한 준비부터 실제 운영·정착까지 도움이 될 수 있는 정보를 담았다.

제로트러스트는 정보 시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 ‘절대 믿지 말고, 계속 검증하라’는 보안 개념이다. 최근 인공지능(AI)·클라우드 등의 새로운 기술이 활용되고 원격 근무가 확산하면서 제로트러스트가 필수 보안 방안으로 부상한 상황이다.

앞서 과기정통부는 지난해 7월 제로트러스트 보안 모델의 확산을 촉진하고자 가이드라인 버전1.0을 마련했다. 이를 통해 제로트러스트의 기본 개념과 원리, 핵심 원칙 등을 설명하고 도입 필요성에 대한 인식을 제고했다.

류제명 과기정통부 네트워크정책실장은 “사이버 침해가 갈수록 고도화되고 다양한 디지털 신기술의 확산으로 기업의 보안 관리 포인트가 급격히 증가하는 상황에서 제로트러스트 보안 체계 전환은 시급하다”면서, “본 가이드라인이 각 산업 분야의 제로트러스트 보안 모델 도입을 위한 구체적 실무 진행의 좋은 참고서가 될 것으로 기대하며 정부는 지속적으로 국내 기업의 제로트러스트 확산을 지원하겠다”고 말했다.