정부가 클라우드와 온프레미스(구축형) 등의 ‘K-제로 트러스트 기본모델’ 2종을 발표했다. 보안모델 적용 전, 후를 비교한 결과 보안성이 41% 향상된 것으로 나타났다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 11일 ‘제로 트러스트 보안 모델 실증 성과공유회’를 열고 주요 성과와 향후 계획을 발표했다.
제로 트러스트란 ‘절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)’는 새로운 보안개념이다. 신뢰성이 보장되지 않은 네트워크 환경을 가정해 다양한 컴퓨팅 자원에 대한 지속 접근 요구에 최소한 권한을 부여, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 게 핵심이다.
실증사업엔 프라이빗테크놀로지 컨소시엄과 SGA솔루션즈 컨소시엄이 참여했다. 프라이빗테크놀로지는 제로 트러스트 3요소인 인증체계강화(EIG), 마이크로 세크멘테이션(초세분화), 소프트웨어 정의경계(SDP)를 통합하고, LG유플러스·한국지능정보사회진흥원(NIA)·한국주택금융공사를 대상으로 실증했다.
프라이빗테크놀로지 보안 모델은 과기정통부의 ‘제로 트러스트 가이드라인 1.0’을 준수한 최초 보안 모델이 됐다. 한국정보통신기술협회(TTA)가 프라이빗테크놀로지 제로 트러스트 보안 모델을 시험한 결과 가이드라인 준수하고 있다고 확인했다.
SGA솔루션즈는 자회사 에스지엔(SGN)을 비롯해 지니언스, 소프트캠프와 컨소시엄을 꾸려, 완전한(Full-stack) 제로 트러스트 아키텍처 통합 모델을 개발했다. 수요기관엔 넷마블, 부동산114, 예스티, NHN클라우드가 참여했다.
접속 요구자의 보안 수준을 점수화해 접속단계부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.
이번 실증사업을 통해 두 보안 모델 적용한 결과 보안성 향상 효과가 큰 것으로 나타났다. 유효성 검증을 맡은 엔키는 제로 트러스트 보안 모델 효과성 분석을 위한 평가 지표를 정의하고, 적용 전·후 효과성을 분석한 결과 보안성이 41% 향상했다고 발표했다.
과기정통부는 이번 실증 결과를 내년 상반기 발간 예정인 ‘제로 트러스트 가이드라인 2.0’에 반영해 고도화할 예정이다. 내년 62억 원 규모의 신규 예산을 확보해 실증사업 지원 대상을 확대할 방침이다. 정보보호 공시, 정보보호관리체계(ISMS), 기업 지원 프로그램 등 기존 제도와 연계한 제로 트러스트 도입 활성화 방안을 마련한다.
홍진배 과기정통부 네트워크정책실장은 “제로 트러스트 성숙도 모델을 계속 발전시켜 나가고, 국산 제로 트러스트 보안 모델의 성공적인 확산을 지원하겠다”며 “국가 차원의 사이버보안 수준을 한 단계 높이는 한편 국내 기업의 체계적인 해외 진출도 지원하겠다”고 말했다.