과기정통부, 산업계 수요 등 파악
연내 가이드라인 초판 발표 계획
보안 기본 모델 수립·실증 추진
2개 컨소시엄 선발해 기술 검증
정부가 한국형(K) 제로트러스트 가이드라인을 마련한다. 제로트러스트 관련 국내 실태를 조사하고 보안 모델 실증에도 착수한다. 정책 수립에 필요한 기초 자료를 모으고 솔루션 개발을 지원하는 등 K제로 트러스트 구현에 속도를 낸다.
과학기술정보통신부는 최근 '국내 제로 트러스트 보안 로드맵 마련을 위한 실증방안 연구'와 '제로 트러스트 보안 모델 실증 지원사업' 용역을 발주했다.
제로 트러스트는 기존 경계 기반 보안체계를 보완하는 새로운 보안 개념이다. 신뢰성이 보장되지 않은 네트워크 환경을 가정해 다양한 컴퓨팅 자원에 대한 지속적 접근 요구에 최소한의 권한을 부여하고, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 게 핵심이다.
사이버 위협이 지능화하고 조직적 형태로 변모함에 따라 선진국을 중심으로 제로 트러스트 구현에 박차를 가한다. 미국은 2021년 5월 행정명령을 통해 정부 주로로 제로 트러스트를 추진하고 있고 영국·일본 등도 제로 트러스트 전환을 위한 정책을 모색한다.
정부는 지난해 10월 '제로 트러스트·공급망 보안 포럼'을 발족했다. K제로 트러스트 가이드 라인과 표준모델 개발에 뛰어들었다.
과기정통부 관계자는 “포럼을 통해 업계 의견을 청취하고 올해 실질적 정책을 준비한다”면서 “실증사업을 통해 현장에 적용할 보안 기본 모델을 수립하는 작업 먼저 시작한다”고 말했다.
과기정통부는 보안 로드맵 마련 실증 과정에서 제로 트러스트 도입을 위한 실태와 수요 조사를 바탕으로 정책 수립을 위한 데이터를 확보한다는 방침이다. 이를 통해 산업별 시장환경을 분석하고 제로 트러스트 적용 단계와 시기를 조정할 계획이다.
공공·국방·의료·금융 등 산업마다 제로 트러스트 필요성은 물론 수준, 효과성이 차이가 있을 수 있다. 과기정통부 관계자는 “산업별로 제로 트러스트 도입 시급성이 다른 만큼 정확한 시장 파악에 주력한다”면서 “효과적인 적용방안과 분야, 강제화 등도 고민할 것”이라고 말했다.
기술 실증도 추진한다. 제로 트러스트 보안 모델 실증 지원사업은 2개 컨소시엄에 각각 5억원을 투입한다. 제로 트러스트 보안 모델을 기관·기업 업무환경에 적용해 보안성 강화 효과성을 검증하는 게 목적이다. 2개 이상 사업자로 구성된 컨소시엄엔 제로 트러스트 보안 모델을 구현·실증할 수 있는 주관·참여기관이 반드시 참여해야 하며 보안 모델을 적용할 수요기관 참여는 선택 사항이다.
과기정통부는 오는 6월 목표로 제로 트러스트 안내서를 발간한다. 미국 국립표준기술연구소(NIST)의 제로 트러스트 정의, 철학, 성숙도 모델 등을 담는다. 이르면 연말께 안내서 개정판을 내놓는다. 개정판엔 현재 추진하는 제로 트러스트 보안 로드맵 실증과 제로 트러스트 보안 모델 등 결과 보고서를 반영한다.
포럼 관계자는 “6월 예정된 안내서는 제로 트러스트 개념 설명 수준”이라면서 “실증 결과를 담는 개정판이 사실상 가이드라인 초판이 될 것”이라고 말했다.
조재학기자 2jh@etnews.com
