재택근무부터 SaaS 연결까지 아우르는 5대 핵심 네트워크 접근 통제 모델 제시
7개 분야 21개 보안 진단 기준 제공해 자체적인 안전성 점검 생태계 조성 지원

[보안뉴스 조재호 기자] 금융보안원은 망분리 규제 완화 흐름 속에서 핵심 보안 강화 전략으로 부상하고 있는 제로트러스트(Zero Trust)를 금융회사가 쉽고 안전하게 구축하고 운영할 수 있도록 ‘금융분야 제로트러스트 보안 안내서’를 발간했다고 9일 밝혔다.


▲금융권 제로트러스트 우선 도입 가능 5개 네트워크 구간 [출처: 금융보안원]

제로트러스트는 ‘그 누구도, 어떤 활동도 기본적으로 신뢰하지 않는다’는 원칙에 바탕을 두고, 내부 자원에 접근하려는 주체에 대해 지속적인 검증을 수행하는 보안 개념이다. 이번 안내서는 제로트러스트 도입에는 공감하지만, 구체적인 구축 사례나 예시가 부족해 도입에 소극적이었던 금융회사를 지원하기 위해 마련됐다.

안내서는 일반적인 개념을 넘어 금융 환경에 특화된 실무 중심의 예시를 수록해 현장 활용도를 대폭 높였다. 특히 금융권 IT 환경을 고려해 △재택근무 △업무 단말 △클라우드 소프트웨어(SaaS) △연구 및 개발 △본점과 지점 간 통신 등 5개 네트워크 구간을 우선 도입 가능 대상으로 선정했다. 구간별 접근 통제 모델(ZTNA) 구축 예시도 제시해 기술적 장벽 해소에도 신경을 섰다.

제로트러스트 도입 후 안정성을 검증할 수 있도록 7개 분야 21개 항목으로 구성된 보안 진단 기준도 함께 제공한다. 진단 기준은 신원 및 사용자 관리, 단말 엔드포인트 관리, 네트워크, 애플리케이션, 데이터, 가시성, 자동화 등 방어망 전 영역이 포함됐다.

금융보안원은 이번 발간을 시작으로 다양한 제로트러스트 도입 예시와 모범 사례를 지속적으로 수집하고 분석해 금융회사에 제공할 계획이다. 이번 안내서의 자세한 내용은 금융보안 레그테크 포털에서 확인할 수 있다.

박상원 금융보안원장은 “금융권의 망분리 규제 완화, 클라우드 이용 확대 등으로 금융회사의 내·외부 네트워크 경계가 갈수록 모호해지고 있다”며 “금융회사는 모든 접속과 행위를 검증하는 제로트러스트 도입을 적극 검토해야 할 시점으로, 이번 안내서가 실질적인 지침서가 되기를 바란다”고 말했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>