정부가 지난해 발표한 제로 트러스트 가이드라인 1.0의 업그레이드 버전인 2.0을 내놨다. 가이드라인 1.0이 기업의 인식 제고에 방점을 찍었다면 2.0은 제로 트러스트 보안 모델 도입 시 실질적 도움이 되도록 수요자 관점에서 마련했다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 국내 기업이 제로 트러스트 보안 모델 도입 시 참조하도록 제로 트러스트 가이드라인 2.0을 발간했다. 이번 가이드라인은 산·학·연 전문가와 함께 국내·외 최신 동향, 도입 사례를 분석하고 수요·공급기관 대상 의견 수렴을 거쳐 제작됐다.
제로 트러스트는 '절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)'는 새로운 보안 개념으로, 네트워크를 내·외부로 구분해 내부자에게 암묵적인 신뢰를 부여하는 기존의 '경계 기반' 보안을 보완한다. 인공지능(AI)·클라우드 등 새로운 디지털 기술 활용, 재택·원격 근무의 확산으로 경계 보안이 한계에 봉착하면서 제로 트러스트가 대안으로 떠올랐다.
이에 과기정통부는 지난해 7월 제로 트러스트 보안 모델의 확산을 위해 가이드라인 1.0을 펴냈다. 가이드라인 1.0엔 기본 개념과 원리, 핵심 원칙 등을 담았으며, 도입 필요성에 대한 인식 제고에 주력했다.
나아가 이번 가이드라인 2.0은 기업이 제로 트러스트 보안 모델 도입·활용에 있어 실질적인 도움을 줄 수 있도록 미국 등 해외 최신 정책 문서(전략·지침 등)를 참고했다. 또 제로 트러스트 실증사업 결과 등 도입을 위한 세부 절차와 방법론을 보강했다.
과기정통부 측은 제로 트러스트 보안모델 도입·적용을 희망하는 수요자 관점에서 구성했다고 설명했다.
특히 각 기업이 제로 트러스트 보안 모델 도입 시 현재 수준을 진단·분석하거나 목표를 설정하고 검증하는 데 활용하도록 '성숙도 모델'을 기존 3단계에서 4단계로 구체화했다. 또 기업망을 구성하는 핵심 요소에 대한 세부역량과 성숙도 수준별 특징을 설명했다. 평가를 위한 체크리스트를 제공하는 한편 향상 방안도 제시했다.
아울러 단계별 고려사항, 조직의 역할, 로드맵 수립을 위한 구체적 방법론·예시를 포함해 도입을 위한 준비부터 실제 운영·정착까지 도움이 될 수 있도록 했다.
류제명 과기정통부 네트워크정책실장은 “각 산업의 제로 트러스트 보안 모델 도입을 위한 구체적 실무 진행의 좋은 참고서가 될 것”이라며 “국내 기업의 제로 트러스트 확산을 지속 지원하겠다”고 말했다.
조재학 기자 2jh@etnews.com
