[보안뉴스 이소미 기자] 한국제로트러스트보안협회(이하 한제협)는 26일 이사회를 열고 제로트러스트보안을 적용한 기업·기관 대상으로 민간차원에서 우선적으로 제로트러스트 보안 성숙도 수준을 평가·검증하는 제로트러스트 보안 인증 서비스를 오는 7월 1일부터 제공하기로 했다. 이를 통해 ZT보안에 대한 시장의 신뢰를 높이고 제로트러스트보안을 확산해 나가기로 했다.
▲제로트러스트보안 성숙도 수준에 따른 등급별 인증마크 5단계 ‘Korea Zero Trust Certification’[이미지=한국제로트러스트보안협회]
인증심사는 협회가 공모를 통해 지정한 전문 인증심사기관이 수행하고, 인증심의는 제로트러스 전문가로 구성된 인증심의위원회에서 하게 된다.
인증심사 항목은 정부가 공시한 제로트러스트 가이드라인에서 규정하고 있는 6가지 핵심 요소인 △식별자·신원(Identity) △기기·엔드포인트(Device·Endpoint) △네트워크(Network) △시스템(System) △응용·워크로드(Application·Workload) △데이터(Data)를 대상으로 한다.
인증등급과 기준은 신청 기관의 제로트러스트 보안 성숙도 수준에 따라 △준비(Initial) △도입(Emerging) △확산(Elevated) △성숙(Matured) △최적화(Optimized) 5단계로 구분해 등급별 인증마크를 부여한다.
제로트러스트 보안에 관한 인증 사례를 보면 제로트러스트보안 선도국인 미국의 CSA(Cloud Security Alliance)가 클라우드 서비스 제공업체의 ZTA 기능을 평가하는 인증 프로그램을 운영하고 있다. Forrester Research는 Zero Trust Maturity Model(ZMM)을 개발해 기업의 ZTA 성숙도를 5단계로 평가한다. 또한 마이크로소프트는 Microsoft Azure Security 프로그램으로 Azure AD 및 기타 Azure 보안 서비스의 ZTA 기능을 평가한다.
협회 서광현 상근부회장은 “이번 제로트러스트 인증제도는 민간차원에서 시행하는 것으로 향후 국내 제로트러스트 보안 시장이 성숙되면 공인인증으로 전환·운영될 수 있도록 정부에 정책 건의를 진행하겠다”고 전했다.
국내 제로트러스트 보안 시장은 아직 초기 단계지만, 정부가 지난해에 이어 올해도 제로트러스트 실증사업을 지원해 제로트러스트 적용사례는 계속해서 늘어날 전망이다. 이에 따라 국내 제로트러스트 인증 수요도 창출될 것으로 전망되고 있다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>