과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)와 한국인터넷진흥원(원장 이원태, 이하 ‘KISA’)은 향후 제로트러스트 보안 패러다임 전환을 위해 12월 11일 국내 기업망 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’을 발표했다고 밝혔다.
과기정통부와 KISA는 올해 7월 7일 국내 최초로 발표한 제로트러스트 가이드라인1.0을 기반으로 통신, 금융 등 국민 생활과 밀접한 분야를 중심으로 국산 제로트러스트 보안모델을 적용・실증하고, 기존 경계보안 모델보다 한 단계 높은 보안수준을 구축할 수 있는 가능성을 확인하였다.
제로트러스트 가이드라인1.0은 제로트러스트 보안모델을 쉽게 이해할 수 있도록 기본개념과 보안원리, 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시하고 있다.
가이드라인1.0 핵심원칙으로 ① 강화된 인증(아이디/패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함), ② 마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리), ③ 소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야함)를 제시하였고, 안전하고 지속적인 접근제어를 위해 ‘제어영역’과 ‘데이터 영역’으로 구분되어야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP, Policy Decision Point)과 접속을 시행하는 정책시행지점(PEP, Policy Enforcement Point)을 두고 운영토록 권고하고 있다.
올해 실증사업은 제로트러스트 가이드라인1.0에서 제시한 제로트러스트 보안모델을 실제 기업망 환경에 적용한 첫 사례로 글로벌 보안기업들이 제로트러스트 시장 선점을 위해 노력하고 있는 가운데 국산 제로트러스트 보안모델의 보안효과성을 확인함으로써 향후 수입 대체효과 및 더 나아가 글로벌시장 진출을 위한 초석을 다졌다.
특히, 이번에 마련한 모델은 두 가지로 개발하였는데 ① 클라우드형 및 ②구축형(On-Premise) 등 다양한 업무 환경에서 제로트러스트 보안모델의 보안효과성을 검증함으로써 업종, 업무 환경에 상관없이 제로트러스트 보안모델을 적용할 수 있도록 하였다.
또한 과기정통부는 실증사업의 ③ 보안효과성 검증을 위한 침투시나리오 및 보안성 점검 체크리스트를 개발・적용함으로써 체계적인 제로트러스트 보안모델의 확산은 물론 제로트러스 보안성 검증체계를 발전시켜나갈 수 있는 기반을 마련하였다.
① 클라우드 업무환경을 위한 제로트러스트 기본모델
첫 번째 실증사례에는 국내외에 특허 등록한 제로트러스트 보안모델이 적용되었다. 기존 무선통신 및 클라우드 환경에서는 디도스공격 또는 횡적이동공격으로 인해 요금 과다청구 등의 문제가 있어서 한 단계 높은 수준의 보안체계가 요구되는 상황이다.
이를 위해 보호해야할 서비스, 서버, 어플리케이션, 데이터 등을 각각 논리적으로 분리하여 보호하였고, PEP(정책시행지점)가 탑재된 제로트러스트 전용 라우터를 세계 최초로 개발・적용하여 보안 수준을 크게 향상시킬 수 있는 모델로 세계적으로 드문 사례이다.
이 사례에서는 실증 현장에 대한 보안효과성 검증을 위해 국내 전문시험기관이 참여하여 97개의 평가항목을 개발하고 각 항목에 대한 현장 시험 및 확인을 통해 개선된 보안효과성을 확인하였다.
② 구축형 업무환경을 위한 제로트러스트 기본모델
두 번째 사례는 국내 다수의 대표 보안기업이 참여하여 개발한 보안모델을 적용하였다. 코로나 19 팬데믹으로 가상사설망 기반의 원격・재택 근무가 급속하게 확산되었으나 크리덴셜 스터핑을 이용한 해킹 등의 사이버 공격의 타겟이 되고 있어서 보안강화 방안이 필요한 상황이다.
이를 위해 접속 요구자의 보안 수준을 점수화하여 접속단계에서부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현하였다.
특히 제로트러스트 성숙도모델을 기반으로 점검 항목 리스트를 개발하고 실증현장에 대한 점검을 통해 개선된 보안효과성을 확인하였고, 보안솔루션 연동을 통해 다양한 기업환경에 적용할 수 있는 현장 맞춤형 제로트러스트 보안모델을 제공할 수 있다는 것을 입증하였다.
③ 제로트러스트 보안효과성 점검방안
올해 제로트러스트 보안모델 실증사업에서는 각 실증사례에 참여한 기업들이 자체적으로 개발하여 적용한 검증방법 외에도 제로트러스트 보안모델의 객관적인 보안효과성 검증을 위해 보안효과성 검증 전문기업이 참여하였다.
제로트러스트 보안모델이 적용된 실증 대상에 대한 보안효과성 점검을 위해 침투시나리와 함께 개선된 보안성을 점검할 수 있는 점검리스트를 개발하고 각 현장에 적용하여 기존보다 더 높은 보안수준을 확인할 수 있었다.
국제적으로 제로트러스트 보안모델 보안효과성 검증을 위한 표준화된 검증방법이 없는 상황에서 이번에 국내 기업이 개발한 제로트러스트 보안효과성 검증방안은 향후 국제 표준화에 기여할 수 있도록 더 발전시켜나갈 계획이다.
과기정통부 홍진배 네트워크정책실장은 “전 세계 국가들이 제로트러스트 보안모델을 도입하기 위해 국가적 차원에서 노력하고 있고, 글로벌 기업들은 신시장을 선점하려고 경쟁하고 있다”고 강조하면서 “과기정통부는 향후 제로트러스트 성숙도 모델을 계속 발전시켜나가고, 국산 제로트러스트 보안모델의 성공적인 확산을 지원하여 국가적인 차원의 사이버보안 수준을 한 단계 높이는 한편, 국내 기업의 체계적인 해외진출도 지원하겠다”는 정책 의지를 밝혔다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
