정부가 제시한 '제로 트러스트 가이드라인'을 준수한 최초 보안 모델이 나왔다.
한국정보통신기술협회(TTA)는 최근 프라이빗테크놀로지의 '통신제어 중심 제로 트러스트 서비스'가 과학기술정보통신부 '제로 트러스트 가이드라인 1.0'을 준수한다는 내용의 시험결과보고서를 냈다. TTA는 국가 공인기관이자 정보통신기술(ICT) 시험인증기관으로, 10월 말부터 약 한 달간 시험을 거쳐 결과물을 공개했다.
TTA는 '통신제어 중심 제로 트러스트 서비스'에 대해서 △사용자·관리자 인증 기능 △장치 인증 기능 △네트워크 접속·차단 기능 △애플리케이션 통신·차단 기능 △데이터 유출 방지 기능 등 97개 시험항목을 도출했다. 이 중 수행이 가능한 94개 항목을 시험한 결과 모두 검증기준을 통과했다. 나머지 3개 항목은 국가정보원 미승인 등 사유로 수행할 수 없었다.
준수성 여부는 94개 시험항목 결과와 제로 트러스트 가이드라인 1.0 지침을 비교·분석해 확인했다. 기술적 측면에서 △제로 트러스트 6가지 기본원리 △제로 트러스트 아키텍처(ZTA) 보안 모델 △ZTA 접근 방법(인증체계 강화·마이크로 세그멘테이션·소프트웨어정의경계) △ZTA 논리 구성 요소 배치 모델 △제로 트러스 성숙도 모델 핵심요소 △제로 트러스트 성숙도 모델 등 6개 지침을 선정했다.
최종적으로 TTA는 프라이빗테크놀로지의 통신제어 중심 제로 트러스트 서비스가 제로 트러스트 가이드라인 1.0을 준수하고 있다고 확인했다. 제로 트러스트 성숙도 모델도 기존·향상·최적화 중 '향상 이상'으로 판단했다.
이번 보고서는 적잖은 영향을 불러올 전망이다. 제로 트러스트 관련 표준화와 인증체계가 전무한 상태에서 국가 공인기관이 가이드라인 준수를 공식 확인했기 때문이다. 그동안 제로 트러스트는 공급사가 스스로 선언(Self-certification)하거나 수요처가 인증하는 수준이었다.
업계 관계자는 “향후 추진될 제로 트러스트 표준화도 탄력을 받게 될 것”이라고 평가했다.
◇용어설명 : 제로 트러스트(Zero Trust)
아무것도 신뢰하지 않는다는 뜻으로, 내외부를 떠나 접속하려는 모든 이의 신원을 검증하고 접근 권한을 부여해야 한다는 새로운 보안 방법론이다. 솔루션과 보안 정책으로 구현한다.
조재학 기자 2jh@etnews.com
