클라우드 및 구축형 업무환경 적용 모델 발표
국산 제로 트러스트 보안 모델 해외진출 지원
[아이티데일리] 과학기술정보통신부(장관 이종호)와 한국인터넷진흥원(KISA, 원장 이원태)은 향후 제로 트러스트 보안 패러다임 전환을 위해 국내 기업망 환경에 적용할 수 있는 ‘제로 트러스트 기본모델 2종’을 11일 발표했다.
과기정통부와 KISA는 올해 7월 국내 최초로 발표한 ‘제로 트러스트 가이드라인1.0’에 기반해 통신, 금융 등 국민 생활과 밀접한 분야를 중심으로 국산 제로 트러스트 보안 모델을 적용·실증하고, 기존 경계보안 모델보다 한 단계 높은 보안 수준을 구축할 수 있는 가능성을 확인했다고 밝혔다.
올해 실증사업은 제로 트러스트 가이드라인1.0에서 제시한 제로 트러스트 보안 모델을 실제 기업망 환경에 적용한 첫 사례다. 글로벌 보안 기업들이 제로 트러스트 시장 선점을 위해 노력하고 있는 가운데, 국산 제로 트러스트 보안 모델의 보안 효과성을 확인함으로써 향후 수입 대체 효과 및 글로벌 시장 진출을 위한 초석을 다진 것으로 평가된다.
특히 과기정통부는 클라우드형 및 구축형(On-Premise) 등 다양한 업무 환경에서 보안 효과성을 검증함으로써 업종, 업무 환경에 상관없이 적용할 수 있는 2가지 제로 트러스트 보안 모델을 개발했다. 또한 실증사업의 보안 효과성 검증을 위한 침투 시나리오 및 보안성 점검 체크리스트를 개발·적용함으로써 제로 트러스트 보안 모델을 체계적으로 확산할 수 있고 보안성 검증 체계를 발전시켜 나갈 수 있는 기반을 마련했다.
첫 번째 실증 사례에는 국내·외에 특허 등록한 클라우드 업무 환경을 위한 제로 트러스트 보안 모델이 적용됐다. 기존 무선 통신 및 클라우드 환경에서는 디도스 공격 또는 횡적 이동 공격으로 인해 요금 과다청구 등의 문제가 있어 한 단계 높은 수준의 보안체계가 요구되는 상황이었다. 이를 위해 보호해야할 서비스, 서버, 애플리케이션, 데이터 등을 각각 논리적으로 분리해 보호하고, PEP(정책시행지점)가 탑재된 제로 트러스트 전용 라우터를 개발·적용했다.
해당 사례에서는 실증 현장에 대한 보안 효과성 검증을 위해 국내 전문시험기관이 참여해 97개의 평가항목을 개발하고 각 항목에 대한 현장 시험 및 확인을 통해 개선된 보안효과성을 확인했다.
두 번째 사례는 국내 다수의 대표 보안기업이 참여해 구축형 업무 환경을 위한 보안 모델을 개발, 적용됐다. 코로나19 팬데믹으로 가상사설망(VPN) 기반의 원격·재택 근무가 급속하게 확산됐으나 크리덴셜 스터핑을 이용한 해킹 등의 사이버 공격의 타깃이 되고 있어 보안 강화 방안이 필요한 상황이었다. 이를 위해 과기정통부는 접속 요구자의 보안 수준을 점수화해 접속 단계에서부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.
특히 제로 트러스트 성숙도 모델을 기반으로 점검 항목 리스트를 개발하고, 실증 현장에 대한 점검을 통해 개선된 보안 효과성을 확인했으며, 보안 솔루션 연동을 통해 다양한 기업환경에 적용할 수 있는 현장 맞춤형 제로 트러스트 보안 모델을 제공할 수 있다는 것을 입증했다는 점 등이 성과로 꼽힌다.
올해 제로 트러스트 보안 모델 실증사업에서는 각 실증사례에 참여한 기업들이 자체적으로 개발·적용한 검증방법 외에도 제로 트러스트 보안 모델의 객관적인 보안효과성 검증을 위해 보안효과성 검증 전문기업이 참여했다. 과기정통부는 이를 계기로 제로 트러스트 보안 모델이 적용된 실증 대상에 대한 보안 효과성을 점검하고자 침투 시나리오와 함께 개선된 보안성을 점검할 수 있는 점검리스트를 개발하고 각 현장에 적용함으로써 기존보다 더 높은 보안수준을 확인할 수 있었다고 밝혔다.
과기정통부는 국제적으로 제로 트러스트 보안 모델 보안효과성 검증을 위한 표준화된 검증방법이 없는 상황에서 이번에 국내 기업이 개발한 제로 트러스트 보안효과성 검증방안이 향후 국제 표준화에 기여할 수 있도록 더 발전시켜 나갈 계획이다.
과기정통부 홍진배 네트워크정책실장은 “전 세계 국가들이 제로 트러스트 보안 모델을 도입하기 위해 국가적 차원에서 노력하고 있고, 글로벌 기업들은 신시장을 선점하려고 경쟁하고 있다”며 “과기정통부는 향후 제로 트러스트 성숙도 모델을 계속 발전시켜 나가고, 국산 제로 트러스트 보안 모델의 성공적인 확산을 지원해 국가적인 차원의 사이버보안 수준을 한 단계 높이는 한편, 국내 기업의 체계적인 해외진출도 지원하겠다”고 밝혔다.