과기정통부, 'K-제로 트러스트 모델' 발표…보안성 41%↑

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

정부가 실증사업을 통해 클라우드와 온프레미스(구축형) 등 다양한 방식의 'K-제로 트러스트 기본모델' 2종을 발표했다. 보안모델 적용 전과 후를 비교한 결과 보안성이 41% 향상된 것으로 나타나 적극적인 도입 필요성이 제기됐다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 11일 '제로 트러스트 보안 모델 실증 성과공유회'를 열고 주요 성과와 향후 계획을 발표했다.

제로 트러스트는 '절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)'는 새로운 보안개념이다. 신뢰성이 보장되지 않은 네트워크 환경을 가정해 다양한 컴퓨팅 자원에 대한 지속 접근 요구에 최소한 권한을 부여, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 게 핵심이다.

실증사업엔 프라이빗테크놀로지 컨소시엄과 SGA솔루션즈 컨소시엄이 참여했다.

프라이빗테크놀로지는 제로 트러스트 3요소인 인증체계강화(EIG), 마이크로 세크멘테이션(초세분화), 소프트웨어정의경계(SDP)를 통합하고, LG유플러스·한국지능정보사회진흥원(NIA)·한국주택금융공사를 대상으로 실증했다.

김영랑 프라이빗테크놀로지 대표는 “LG유플러스와 실증에서 세계 최초로 제로 트러스트 기반 무선 통신 전용 라우터를 개발하고 적용했다”고 강조했다.

프라이빗테크놀로지 보안 모델은 과기정통부의 '제로 트러스트 가이드라인 1.0'을 준수한 최초 보안 모델이 됐다. 한국정보통신기술협회(TTA)가 프라이빗테크놀로지 제로 트러스트 보안 모델을 시험한 결과 가이드라인 준수하고 있다고 확인했다.

홍진배 과학기술정보통신부 네트워크정책실장이 11일 '제로 트러스트 보안 모델 실증 성과공유회'에서 환영사를 하고 있다.
홍진배 과학기술정보통신부 네트워크정책실장이 11일 '제로 트러스트 보안 모델 실증 성과공유회'에서 환영사를 하고 있다.

SGA솔루션즈는 자회사 에스지엔(SGN)을 비롯해 지니언스, 소프트캠프와 컨소시엄을 꾸려, 완전한(Full-stack) 제로 트러스트 아키텍처 통합 모델을 개발했다. 수요기관엔 넷마블, 부동산114, 예스티, NHN클라우드가 참여했다.

접속 요구자의 보안 수준을 점수화해 접속단계부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.

최영철 SGA솔루션즈 대표는 “아키텍처 구현 시 가장 어려운 '통합·연동체계' 경험을 보유했다”며 “보안솔루션 연동을 통해 다양한 기업환경에 적용할 수 있는 현장 맞춤형 제로트러스트 보안모델을 제공할 수 있다는 것을 입증했다”고 말했다.

이번 실증사업을 통해 두 보안 모델 적용한 결과 보안성 향상 효과가 큰 것으로 확인했다. 유효성 검증을 맡은 엔키는 제로 트러스트 보안 모델 효과성 분석을 위한 평가 지표를 정의하고, 적용 전·후 효과성을 분석한 결과 보안성이 41% 향상했다고 발표했다.

K제로 트러스트보안 모델 실증사업 결과
K제로 트러스트보안 모델 실증사업 결과

과기정통부는 이번 실증 결과를 내년 상반기 발간 예정인 '제로 트러스트 가이드라인 2.0'에 반영해 고도화하는 한편, 내년 62억원 규모의 신규 예산을 확보해 실증사업 지원 대상을 확대할 계획이다. 또 정보보호 공시, 정보보호관리체계(ISMS), 기업 지원 프로그램 등 기존 제도와 연계한 제로 트러스트 도입 활성화 방안을 마련한다.

홍진배 과기정통부 네트워크정책실장은 “제로 트러스트 성숙도 모델을 계속 발전시켜 나가고, 국산 제로 트러스트 보안 모델의 성공적인 확산을 지원하겠다”며 “국가 차원의 사이버보안 수준을 한 단계 높이는 한편 국내 기업의 체계적인 해외 진출도 지원하겠다”고 발혔다.

조재학 기자 2jh@etnews.com