과학기술정보통신부와 한국인터넷진흥원 향후 제로트러스트 보안 패러다임 전환을 위해 12월 11일 국내 기업망 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’을 발표했다고 밝혔다.
과기정통부와 KISA는 올해 7월 7일 국내 최초로 발표한 ?제로트러스트 가이드라인1.0?을 기반으로 통신, 금융 등 국민 생활과 밀접한 분야를 중심으로 국산 제로트러스트 보안모델을 적용?실증하고, 기존 경계보안 모델보다 한 단계 높은 보안수준을 구축할 수 있는 가능성을 확인했다.
올해 실증사업은 제로트러스트 가이드라인1.0에서 제시한 제로트러스트 보안모델을 실제 기업망 환경에 적용한 첫 사례로 글로벌 보안기업들이 제로트러스트 시장 선점을 위해 노력하고 있는 가운데 국산 제로트러스트 보안모델의 보안효과성을 확인함으로써 향후 수입 대체효과 및 더 나아가 글로벌시장 진출을 위한 초석을 다졌다.
특히, 이번에 마련한 모델은 두 가지로 개발했는데 ① 클라우드형 및 ②구축형(On-Premise) 등 다양한 업무 환경에서 제로트러스트 보안모델의 보안효과성을 검증함으로써 업종, 업무 환경에 상관없이 제로트러스트 보안모델을 적용할 수 있도록 했다.
또한 과기정통부는 실증사업의 ③ 보안효과성 검증을 위한 침투시나리오 및 보안성 점검 체크리스트를 개발?적용함으로써 체계적인 제로트러스트 보안모델의 확산은 물론 제로트러스 보안성 검증체계를 발전시켜나갈 수 있는 기반을 마련했다.
① 클라우드 업무환경을 위한 제로트러스트 기본모델
첫 번째 실증사례에는 국내외에 특허 등록한 제로트러스트 보안모델이 적용됐다. 기존 무선통신 및 클라우드 환경에서는 디도스공격 또는 횡적이동공격으로 인해 요금 과다청구 등의 문제가 있어서 한 단계 높은 수준의 보안체계가 요구되는 상황이다.
이를 위해 보호해야할 서비스, 서버, 어플리케이션, 데이터 등을 각각 논리적으로 분리하여 보호했고, PEP(정책시행지점)가 탑재된 제로트러스트 전용 라우터를 세계 최초로 개발?적용하여 보안 수준을 크게 향상시킬 수 있는 모델로 세계적으로 드문 사례이다.
이 사례에서는 실증 현장에 대한 보안효과성 검증을 위해 국내 전문시험기관이 참여하여 97개의 평가항목을 개발하고 각 항목에 대한 현장 시험 및 확인을 통해 개선된 보안효과성을 확인했다.
② 구축형 업무환경을 위한 제로트러스트 기본모델
두 번째 사례는 국내 다수의 대표 보안기업이 참여하여 개발한 보안모델을 적용했다. 코로나 19 팬데믹으로 가상사설망 기반의 원격?재택 근무가 급속하게 확산됐으나 크리덴셜 스터핑을 이용한 해킹 등의 사이버 공격의 타겟이 되고 있어서 보안강화 방안이 필요한 상황이다.
이를 위해 접속 요구자의 보안 수준을 점수화하여 접속단계에서부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.
특히 제로트러스트 성숙도모델을 기반으로 점검 항목 리스트를 개발하고 실증현장에 대한 점검을 통해 개선된 보안효과성을 확인했고, 보안솔루션 연동을 통해 다양한 기업환경에 적용할 수 있는 현장 맞춤형 제로트러스트 보안모델을 제공할 수 있다는 것을 입증했다.
③ 제로트러스트 보안효과성 점검방안
올해 제로트러스트 보안모델 실증사업에서는 각 실증사례에 참여한 기업들이 자체적으로 개발하여 적용한 검증방법 외에도 제로트러스트 보안모델의 객관적인 보안효과성 검증을 위해 보안효과성 검증 전문기업이 참여했다.
제로트러스트 보안모델이 적용된 실증 대상에 대한 보안효과성 점검을 위해 침투시나리와 함께 개선된 보안성을 점검할 수 있는 점검리스트를 개발하고 각 현장에 적용하여 기존보다 더 높은 보안수준을 확인할 수 있었다.
국제적으로 제로트러스트 보안모델 보안효과성 검증을 위한 표준화된 검증방법이 없는 상황에서 이번에 국내 기업이 개발한 제로트러스트 보안효과성 검증방안은 향후 국제 표준화에 기여할 수 있도록 더 발전시켜나갈 계획이다.
과기정통부 홍진배 네트워크정책실장은 “전 세계 국가들이 제로트러스트 보안모델을 도입하기 위해 국가적 차원에서 노력하고 있고, 글로벌 기업들은 신시장을 선점하려고 경쟁하고 있다”고 강조하면서 “과기정통부는 향후 제로트러스트 성숙도 모델을 계속 발전시켜나가고, 국산 제로트러스트 보안모델의 성공적인 확산을 지원하여 국가적인 차원의 사이버보안 수준을 한 단계 높이는 한편, 국내 기업의 체계적인 해외진출도 지원하겠다”는 정책 의지를 밝혔다.
[보도자료출처: 과학기술정보통신부]