유럽연합(EU)·일본 등을 중심으로 운영기술(OT) 보안을 강화하는 가운데 정부가 국내 OT 환경에 맞게 제로 트러스트 보안을 구현하는 방안을 내놨다.
한국인터넷진흥원(KISA)이 'OT 환경의 제로 트러스트 적용 안내서'를 마련했다. 앞서 KISA는 과학기술정보통신부와 국내 환경에 맞춘 '제로 트러스트 가이드라인 2.0'을 발표한 바 있다.
제로 트러스트는 '아무것도 신뢰하지 말고 계속 검증하라'는 보안 개념으로, 기존의 경계 기반 보안 체계와 달리 내부 침입을 가정해 모든 연결을 의심하고 지속적으로 검증해 보안성을 높인다.
OT 보안은 산업 현장에서 물리적 설비나 공정 제어 시스템을 안전하게 운영하기 위한 사이버보안 체계를 일컫는다. 과거엔 OT 시스템을 폐쇄망으로 운용했으나 최근 사물인터넷(IoT)·클라우드·원격 유지보수 등 외부와 연결이 늘어나면서 OT 보안은 필수가 됐다.
이번 안내서엔 산업 현장 장비의 가용성과 실시간성을 요구하는 OT 환경의 특성에 맞는 제로 트러스트 보안을 적용하는 방안을 담았다.
구체적으로 정보기술(IT)과 OT 네트워크 계층을 구분하는 퍼듀(Purdue) 모델을 포괄하는 동시에 제로 트러스트 가이드라인 2.0의 6대 핵심요소를 기반으로 제로 트러스트 요구사항을 제시했다. 또 핵심 원칙으론 △실시간성·가용성 유지 △OT 장비 독립성 유지 △OT·IT 전역에서의 침해 가정 △지속적 모니터링이라는 제로 트러스트 원칙을 적용할 것을 제안했다.
이번 안내서는 KISA 홈페이지에서 확인할 수 있다.
이상중 원장은 “이번 안내서가 국내 OT 보안 인식과 수준을 한 단계 높이는 데 기여하길 바란다”며 “글로벌 선도국 지침을 참고해 안내서를 업데이트하겠다”고 말했다.
조재학 기자 2jh@etnews.com
