내년 1월 정부·공공기관 제로트러스트 가이드라인 공개
국정원, 내년 1월 제로트러스트 가이드라인 발표 예정정부·공공기관에 구속력과 실행력 갖는 가이드라인
이인애 기자
내년 1월 국가정보원(국정원)의 제로트러스트 가인드라인이 발표된다. 정부·공공기관에 구속력과 실행력을 갖는 이 가이드라인이 발표되면 공공기관에 납품하기 위한 보안 솔루션 자격요건 등이 구체화될 수 있어 보안업계도 집중하는 사안이다.
19일 업계에 따르면 국정원은 내년 1월 공공용 제로트러스트 보안 가이드라인을 발표할 예정이다.
기존 전통적인 보안 체계인 경계 기반 보안모델은 내부망과 외부망 사이를 지키며 접근권한이 확인된 사용자를 내부 시스템에 들어올 수 있도록 허용해주는 형태였다.
때문에 침입자가 내부자 계정을 탈취하거나 침입자가 내부자와 공모하는 경우 침입자가 서버와 컴퓨팅 서비스, 데이터 등에 추가 인증 없이 접근할 수 있었다.
반면 제로트러스트 보안모델은 내부자 권한이 있어도 내부망 진입부터 어려워진다. 특히 서버와 컴퓨팅 서비스, 데이터 등을 각각 분리·보호하기 때문에 특정 시스템이 뚫려도 다른 시스템 접근은 허용이 안된다.
한국제로트러스트보안협회 관계자는 "우리나라 사이버보안정책이 망분리모델에서 제로트러스트보안모델로 전환해야 한다고 생각한다"며 "디지털전환시대에 클라우드와 모빌리티 확산으로 망분리모델은 한계가 있기 때문이다"고 전했다.
이인애 MTN 머니투데이방송 기자
19일 업계에 따르면 국정원은 내년 1월 공공용 제로트러스트 보안 가이드라인을 발표할 예정이다.
 |
| 국가정보원 엠블럼 |
제로트러스트는 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하는 보안개념이다.
기존 경계보안 솔루션은 내부망 접속 시 '선 접속, 후 인증' 체계로 내부인력의 접속 시도에 특별한 경우에만 접근을 차단했다. 반면 제로트러스트 보안 체계에서는 내부 인력이라도 접속 전 미리 경계하는 것을 기본으로 한다.
기존 전통적인 보안 체계인 경계 기반 보안모델은 내부망과 외부망 사이를 지키며 접근권한이 확인된 사용자를 내부 시스템에 들어올 수 있도록 허용해주는 형태였다.
때문에 침입자가 내부자 계정을 탈취하거나 침입자가 내부자와 공모하는 경우 침입자가 서버와 컴퓨팅 서비스, 데이터 등에 추가 인증 없이 접근할 수 있었다.
반면 제로트러스트 보안모델은 내부자 권한이 있어도 내부망 진입부터 어려워진다. 특히 서버와 컴퓨팅 서비스, 데이터 등을 각각 분리·보호하기 때문에 특정 시스템이 뚫려도 다른 시스템 접근은 허용이 안된다.
한국제로트러스트보안협회 관계자는 "우리나라 사이버보안정책이 망분리모델에서 제로트러스트보안모델로 전환해야 한다고 생각한다"며 "디지털전환시대에 클라우드와 모빌리티 확산으로 망분리모델은 한계가 있기 때문이다"고 전했다.
이 같은 제로트러스트 보안모델은 글로벌 시장에서는 이미 차세대 핵심 보안모델로 인정받고 있다.
미국, 유럽 등에서는 다양화·지능화되는 사이버위협에 대응할 수 있는 보완 수단으로 제로트러스트 보안 모델 도입을 앞다퉈 추진하고 있다 .
국내에서도 국정원과 과학기술정보통신부(과기정통부)는 각각 2022년 8월과 10월부터 한국형 제로트러스트 가이드라인 개발에 착수했다.
과기정통부는 올해 7월 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등이 담긴 '제로트러스트 가이드라인 1.0'을 공개했다.
국정원은 2024년까지 K-제로트러스트 개발을 마치면 1년여간 시범 적용을 거친 후 범정부로 확대할 계획이라고 밝힌 바 있다. 2026년부터는 전 국가·공공기관을 대상으로 한국형(K) 제로 트러스트를 적용하겠다고 계획했다.
과학기술정보통신부의 제로트러스트 가이드라인이 산업 활성화 차원이라면, 국정원의 가이드라인이 나오면 정부·공공기관에 구속력과 실행력을 갖게 되기 때문에 더욱 신중하게 마련 중이라는 게 당시 국정원 측 설명이었다.
최근 국정원 관계자에 따르면 이 같은 국정원 제로트러스트 가이드라인이 한 달 뒤인 2024년 1월 발표될 예정이다.
보안업계 한 관계자는 "국정원 가이드라인이 발표되면 공공기관에 납품하기 위한 보안제품 자격요건 등도 알 수 있어, 최근 시장에 등장하고 있는 제로트러스트를 위한 솔루션 등 제품 설계에 큰 도움이 될 것으로 기대하고 있다"고 말했다.
미국, 유럽 등에서는 다양화·지능화되는 사이버위협에 대응할 수 있는 보완 수단으로 제로트러스트 보안 모델 도입을 앞다퉈 추진하고 있다 .
국내에서도 국정원과 과학기술정보통신부(과기정통부)는 각각 2022년 8월과 10월부터 한국형 제로트러스트 가이드라인 개발에 착수했다.
 |
| 올해 7월 과기정통부가제로트러스트 가이드라인1.0을 발표했다. |
과기정통부는 올해 7월 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등이 담긴 '제로트러스트 가이드라인 1.0'을 공개했다.
국정원은 2024년까지 K-제로트러스트 개발을 마치면 1년여간 시범 적용을 거친 후 범정부로 확대할 계획이라고 밝힌 바 있다. 2026년부터는 전 국가·공공기관을 대상으로 한국형(K) 제로 트러스트를 적용하겠다고 계획했다.
과학기술정보통신부의 제로트러스트 가이드라인이 산업 활성화 차원이라면, 국정원의 가이드라인이 나오면 정부·공공기관에 구속력과 실행력을 갖게 되기 때문에 더욱 신중하게 마련 중이라는 게 당시 국정원 측 설명이었다.
최근 국정원 관계자에 따르면 이 같은 국정원 제로트러스트 가이드라인이 한 달 뒤인 2024년 1월 발표될 예정이다.
보안업계 한 관계자는 "국정원 가이드라인이 발표되면 공공기관에 납품하기 위한 보안제품 자격요건 등도 알 수 있어, 최근 시장에 등장하고 있는 제로트러스트를 위한 솔루션 등 제품 설계에 큰 도움이 될 것으로 기대하고 있다"고 말했다.
이인애 MTN 머니투데이방송 기자
