"아무도 믿지 말고 검증, 또 검증"…정부, K-제로트러스트 지침서 첫 공개
페이지 정보
본문
|
과기정통부, 제로트러스트 개념·핵심원칙 등 가이드라인 1.0 발표
하반기 국산 제로트러스트 기술 실증…내년 상반기 2.0 발표 계획 
[서울=뉴시스] 과학기술정보통신부는 9일 제로 트러스트 가이드라인 1.0을 마련했다고 밝혔다. [그래픽] 과학기술정보통신부는 9일 제로 트러스트 가이드라인 1.0을 마련했다고 밝혔다. 과기정통부는 국내 산·학·연·관 전문가들이 선진국 동향 분석, 자료 검토, 토론회 등으로 의견을 모아 제로 트러스트 개념과 보안 원리, 핵심 원칙 등을 가이드라인에 담았다고 설명했다. 제로 트러스트는 정보 시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 계속 검증하라는 보안 개념이다. 모바일·사물인터넷IoT 기기, 클라우드 기반의 원격·재택근무 환경이 조성되고 코로나19로 비대면 사회가 가속화됨에 따라 전통적으로 네트워크 내·외부 경계를 구분하고 내부자에게 암묵적 신뢰를 부여하는 기존 경계 기반 보안 모델은 한계에 도달해 새로운 보안 모델로 전환이 필요한 상황이다. 
[서울=뉴시스] 과학기술정보통신부는 9일 제로 트러스트 가이드라인 1.0을 마련했다고 밝혔다. 그래픽은 경계 기반 보안과 제로트러스트 모델 비교 그래픽=과학기술정보통신부 제공 *재판매 및 DB 금지 기존 경계 기반 보안 모델은 신뢰하는 자원내부망과 신뢰하지 않은 자원외부망 사이에 보안 경계를 세우는 성격을 지닌다. 이에 침입자가 내부자와 공모 또는 권한 탈취를 통해 정보 시스템에 접속하고 나면 내부 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있다. 제로 트러스트 보안 모델은 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호한다. 이에 하나의 자원이 해킹되더라도 인근 자원은 보호할 수 있으며 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디·패스워드 외에도 다양한 정보를 이용해 인증하는 방식으로 보안 수준을 높일 수 있다. 미국, 유럽 등에서는 4차 산업혁명 기술 기반으로 비대면 사회가 가속화됨에 따라 기존 경계 기반 보안 모델의 전환이 필요한 상황에서 다양화·지능화되는 사이버위협에 대응할 수 있는 보완 수단으로 제로 트러스트 보안 모델 도입을 본격화하고 있다. 하지만 미국 등 선진국에서조차 제로 트러스트를 바라보는 관점이 서로 달라 공통된 이해가 부족한 실정이다. 지난 7일 오후 서울 중구 한국지능정보사회진흥원NIA 서울사무소에서 열린 제로 트러스트 현장 간담회에서 이석준 가천대 교수제로 트러스트 포럼 정책·제도 분과장는 이번 가이드라인 설계를 두고 "국내 정보통신환경에 적합한 제로 트러스트 보안 체계를 도입하는 데 공통된 이해를 바탕으로 지원하기 위한 목적이 크다"고 설명했다. 핵심 원칙에 강화된 인증·마이크로 세그멘테이션·소프트웨어 정의 경계 포함
[서울=뉴시스] 과학기술정보통신부는 9일 제로 트러스트 가이드라인 1.0을 마련했다고 밝혔다. 그래픽은 제로트러스트 접근제어 논리 컴포넌트 구성도 그래픽=과학기술정보통신부 제공 *재판매 및 DB 금지 10일 과기정통부, 한국인터넷진흥원KISA, 유관기관 홈페이지를 통해 공개할 가이드라인 1.0은 제로 트러스트 기본 개념과 보안 원리, 제로 트러스트 보안 모델 핵심 원칙과 접근 제어 원리, 도입 계획 수립을 위한 세부 절차와 도입 참조모델 등을 제시하고 있다. 핵심 원칙에는 ▲강화된 인증아이디·패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함 ▲마이크로 세그멘테이션서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리 ▲소프트웨어 정의 경계소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야 함 등의 내용이 들어갔다. 접근 제어 원리는 보호 대상 자원 접근 요구에 관해 접속을 허락할지 말지를 결정하는 과정으로 제로 트러스트 기본철학을 구현하는 중요한 원리 중 하나다. 안전하고 지속적인 접근 제어를 위해 제로 트러스트 보안 모델은 제어 영역과 데이터 영역으로 구분돼야 한다. 자원 접근 요구가 있을 때 접속을 결정하는 정책 결정 지점PDP과 접속을 시행하는 정책 시행 지점PEP을 두고 운영해야 한다. PDP는 정책엔진PE과 정책관리자PA로 나뉘며 PE는 신뢰도를 판단해 접속 허가를 결정한다. PA는 PEP에 명령해 정책을 실행한다. PDP는 PEP와 다양한 보안솔루션SIEM, C-TAS, IAM, LMS 등에서 생성한 보안 정보 등을 바탕으로 한 신뢰도 평가를 통해 자원 접근 여부를 결정하고 접근 허가 후에는 양방향 보안 통신경로를 생성한다. 기업망 6개 핵심 요소 제시…한국형 모델로 시스템 추가
[서울=뉴시스] 과학기술정보통신부는 9일 제로 트러스트 가이드라인 1.0을 마련했다고 밝혔다. 표는 제로트러스트 도입을 위한 기업망 핵심요소 표=과학기술정보통신부 제공 *재판매 및 DB 금지 제로 트러스트 도입을 검토하고 있는 기관과 기업 관계자들은 네트워크, 컴퓨팅 자원 중 어떤 요소를 어느 정도 보안 수준으로 설계해야 할지 관련 예산계획 수립, 도입 기간 중 진행 상황 점검 등을 위한 지표를 필요로 한다. 이를 위해 정부는 식별자·신원, 기기·엔드포인트, 네트워크, 시스템, 응용·워크로드, 데이터 등 6개 핵심요소에 관한 보안 수준 성숙도 단계별 기능을 정의해 실질적인 정보를 제공할 수 있도록 했다. 이중 시스템은 미국 정부기관 등이 제안한 가이드라인에도 포함하지 않는 요소다. 이석준 교수는 "마이크로소프트 등 여러 기업이 발현한 제로 트러스트 핵심 요소를 고려해 시스템이라는 추가적인 핵심 요소를 포함한 것"이라고 설명했다. 과기정통부는 금융망 등 시스템 관리자개발자 계정 해킹으로 인한 시스템 주요 파일 접근·훼손 등 침해사고 대책 차원에서 기업망 핵심 요소로 시스템을 추가하고 성숙도별 기능을 정의했다고 전했다. 
[서울=뉴시스] 과학기술정보통신부는 9일 제로 트러스트 가이드라인 1.0을 마련했다고 밝혔다. 그래픽은 제로트러스트 도입을 위한 세부 절차 그래픽=과학기술정보통신부 제공 *재판매 및 DB 금지 아울러 가이드라인은 정부·공공기관과 기업 관계자들이 실질적인 도입 전략 수립 시 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로 트러스트 보안 모델을 적용한 사례를 참조 모델로 제시했다. 보유 자원 보안 위협을 줄이기 위한 절차로 위험 관리 프레임워크NIST와 연계해 도입 단계 검토가 가능하도록 한 안을 담았다. 관계자들은 가이드라인을 통해 구현 목표 설정, 예산 계획, 도입 과정에서 공정별 진행 상황 점검 등을 위해 기업망 핵심 요소별 성숙도 모델을 참고해 제로 트러스트 도입 전후 네트워크 구조 변화와 보안 효과성 등을 확인할 수 있다. 이를 위해 최근 우리나라에 일상화돼 있는 재택·원격지 근무 환경에 제로 트러스트 보안 모델을 적용한 네트워크에 침투 시나리오를 적용해 제로 트러스트 도입 시 보안성이 강화될 수 있음을 파악할 수 있게 했다. 지난달 실증 사업 시작…"내년 상반기에 가이드라인 2.0 공개 계획"
[서울=뉴시스] 윤정민 기자 = 지난 7일 오후 서울 중구 한국지능정보사회진흥원NIA 서울사무소에서 열린 제로 트러스트 현장 간담회에서 박윤규 과학기술정보통신부 2차관 등 참석자들이 기념촬영을 하고 있다. 2023.07.09. alpaca@newsis.com *재판매 및 DB 금지 올해 정부는 제로 트러스트 보안 모델을 구축하고 검증하는 사업도 진행한다. SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄은 지난달부터 12월까지 통신·금융·공공 분야 등 다양한 환경에 제로 트러스트 보안 모델을 구현하고 세계적 수준의 화이트 해커들이 공격 시나리오로 구성된 검증 모델을 적용해 제로 트러스트 도입 전후 보안 효과성을 검증할 계획이다. 보안 모델 실증 지원사업을 하는 SGA솔루션즈 컨소시엄에는 SGN, 지니언스, 소프트캠프가 참여기관으로 나선다. NHN클라우드, 넷마블, 부동산114, 예스티 등이 수요기관으로 참여한다. 프라이빗테크놀로지 컨소시엄은 차세대 통신 기술 관련 제로 트러스트 보안 실증 사업에 나선다. 주관사는 프라이빗테크놀로지와 한글과컴퓨터, 네이버클라우드, 메가존클라우드, 글로싸인, 크리니티 등으로 구성된 한국IoT융합사업협동조합이 맡았다. 수요기관은 LG유플러스, NIA, 한국주택금융공사 등이다. 과기정통부는 향후 실증사례 보안 효과성 분석 결과와 변화되는 환경 등을 고려해 제로 트러스트 가이드라인 2.0을 내년 상반기에 공개하는 등 지속적으로 보완·고도화해 나갈 계획이라고 전했다. 제로 트러스트 현장 간담회에 참석한 박윤규 과기정통부 2차관은 "순수 국산 기술로 국내 기업 환경에 적합한 제로 트러스트 보안 모델을 실증할 준비가 됐다"며 "제로 트러스트와 소프트웨어 공급망 보안 확산 기반 마련을 위해 상당한 규모의 예산을 배정해서 예산 당국, 국회 등과 협의하고 있다"고 말했다. 이어 "국민의 일상생활과 다양한 산업 분야로 네트워크가 확장되는 상황에서 보안 체계가 전환돼야 하는 패러다임 전환 시기에 이런 상황에 적합한 대안을 찾아야 한다"고 밝혔다. ☞공감언론 뉴시스 alpaca@newsis.com ▶ 네이버에서 뉴시스 구독하기 ▶ K-Artprice, 유명 미술작품 가격 공개 <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.> ◇ 조재현 딸 조혜정, 몰라보게 달라진 외모 ◇ 40대 유명 소프라노, 공연장 화장실서 숨진 채 발견 ◇ 최재림, 과거 열애설 상대 박칼린 집서 이불 빨래 ◇ 한혜진 "♥기성용, 결혼 잘했다고 인정 안해" ◇ "간 떼주면 1억5000만원 줄게"…父 향한 엇나간 효심 ◇ 풍자, 실물 논란 후폭풍…"경찰서에서 만나요" ◇ 유퉁, 33세 연하 아내 외도 후 몽골서 11살 딸 데려와 ◇ 장세진 "60살에 쌍둥이 득녀…새벽 5시 전 못 자" ◇ 박주호, 암투병 부인 안나 위한 요리는?…"서툴러" ◇ 최재림, 열애설 박칼린 집서 이불빨래…18세 연상 저작권자ⓒ> |
관련링크
- 이전글LG전자·메가존클라우드, 이음5G 주파수 할당·사업자 등록 완료 23.07.09
- 다음글리튬이온전지 열폭주 막는다…KIST, 난연성 전해액 개발 23.07.09
댓글목록
등록된 댓글이 없습니다.