ZT 도입 수준 진단 및 역량강화 방법 제시...기업 ZT 도입 시 효율적인 지침서 역할 기대
식별자·신원, 기기 및 엔드포인트, 네트워크, 시스템 , 앱 및 워크로드, 데이터 등 6개 영역 구분
[보안뉴스 김영명 기자] 과학기술정보통신부(장관 유상임, 이하 과기정통부)와 한국인터넷진흥원(원장 이상중, 이하 KISA)은 산·학·연 전문가들과 함께 국내외 최신 동향, 도입 사례를 분석하고 수요·공급기관 대상 의견 수렴을 거쳐 국내 기업들이 제로트러스트(Zero Trust) 보안 모델을 도입하는데 참조할 수 있는 ‘제로트러스트 가이드라인 2.0’을 마련했다고 밝혔다.
▲제로트러스트 보안 모델 및 구성요소[자료=과기정통부]
제로트러스트(Zero Trust)는 정보시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 ‘절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)’는 새로운 보안 개념이다.
기존의 보안 모델은 네트워크의 내외부를 구분해 내부자에게 암묵적인 신뢰를 부여하는 ‘경계기반’ 보안 방식이었다. 하지만 AI·클라우드와 같은 새로운 디지털 기술 활용, 재택·원격 근무의 확산으로 기존 보안 모델이 한계가 드러나면서 보안의 근본적인 패러다임 전환이 필요한 상황이 됐다.
▲제로트러스트 성숙도 모델 2.0 요약[자료=과기정통부]
과기정통부는 지난해 7월에 제로트러스트 보안 모델의 확산을 촉진하기 위해 ‘제로트러스트 가이드라인 1.0’을 마련, 기본 개념과 원리, 핵심 원칙 등에 대한 설명을 통해 도입 필요성에 대한 인식을 제고하기 위해 노력했다. 또한 가이드라인 1.0에서 제시한 제로트러스트 보안 모델을 실제 기업환경에 적용하고 검증하는 실증·시범사업을 진행해 국산 제로트러스트 보안 모델의 확산 기반을 마련해 왔다.
이번에 발표하는 ‘제로트러스트 가이드라인 2.0’은 제로트러스트 보안 모델에 대한 개념 소개와 인식 제고를 넘어 실제 기업에서 도입하고 활용하는데 실질적인 도움이 될 수 있도록 미국 등 해외 최신 전략과 지침 등 다양한 정책 문서를 참고하고 제로트러스트 기존 실증사업 결과를 포함해 도입을 위한 세부 절차와 방법론을 보강하는 등 제로트러스트 보안모델 도입·적용을 희망하는 수요자 관점에서 구성했다.
특히 각 기업이 제로트러스트 보안 모델을 도입하려고 할 때 현재 수준을 진단·분석하거나 목표를 설정하고 검증하는 데 활용할 수 있도록 기존 3단계에서 4단계로 구체화된 ‘성숙도 모델’을 정의했으며, 기업망을 구성하는 핵심요소에 대한 세부역량과 성숙도 수준별 특징을 설명하고 평가를 위한 체크리스트 제공 및 향상 방안을 제시했다.
▲제로트러스트 성숙도 향상을 위한 핵심 기능과 세부역량[자료=과기정통부]
이번 제로트러스트 가이드라인 2.0은 단순히 제로트러스트의 기술적 방안을 설명하는 데 그치지 않고, 단계별 고려사항, 조직의 역할, 로드맵 수립을 위한 구체적 방법론 및 예시를 포함해 도입을 위한 준비부터 실제 운영과 정착까지 도움이 될 수 있도록 했다.
과기정통부 류제명 네트워크정책실장은 “사이버 침해가 갈수록 고도화되고 다양한 디지털 신기술의 확산으로 기업의 보안 관리 포인트가 급격히 증가하는 상황에서 제로트러스트 보안 체계 전환이 시급하다”고 말했다. 이어 “이번 가이드라인 2.0이 앞으로 각 산업 분야의 제로트러스트 보안 모델 도입을 위한 구체적 실무 진행의 좋은 참고서가 될 것으로 기대한다”며 “정부는 앞으로도 지속해서 국내 기업의 제로트러스트 확산을 지원할 것”이라고 강조했다.
[김영명 기자(boan@boannews.com)]
식별자·신원, 기기 및 엔드포인트, 네트워크, 시스템 , 앱 및 워크로드, 데이터 등 6개 영역 구분
[보안뉴스 김영명 기자] 과학기술정보통신부(장관 유상임, 이하 과기정통부)와 한국인터넷진흥원(원장 이상중, 이하 KISA)은 산·학·연 전문가들과 함께 국내외 최신 동향, 도입 사례를 분석하고 수요·공급기관 대상 의견 수렴을 거쳐 국내 기업들이 제로트러스트(Zero Trust) 보안 모델을 도입하는데 참조할 수 있는 ‘제로트러스트 가이드라인 2.0’을 마련했다고 밝혔다.
▲제로트러스트 보안 모델 및 구성요소[자료=과기정통부]
제로트러스트(Zero Trust)는 정보시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 ‘절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)’는 새로운 보안 개념이다.
기존의 보안 모델은 네트워크의 내외부를 구분해 내부자에게 암묵적인 신뢰를 부여하는 ‘경계기반’ 보안 방식이었다. 하지만 AI·클라우드와 같은 새로운 디지털 기술 활용, 재택·원격 근무의 확산으로 기존 보안 모델이 한계가 드러나면서 보안의 근본적인 패러다임 전환이 필요한 상황이 됐다.
▲제로트러스트 성숙도 모델 2.0 요약[자료=과기정통부]
과기정통부는 지난해 7월에 제로트러스트 보안 모델의 확산을 촉진하기 위해 ‘제로트러스트 가이드라인 1.0’을 마련, 기본 개념과 원리, 핵심 원칙 등에 대한 설명을 통해 도입 필요성에 대한 인식을 제고하기 위해 노력했다. 또한 가이드라인 1.0에서 제시한 제로트러스트 보안 모델을 실제 기업환경에 적용하고 검증하는 실증·시범사업을 진행해 국산 제로트러스트 보안 모델의 확산 기반을 마련해 왔다.
이번에 발표하는 ‘제로트러스트 가이드라인 2.0’은 제로트러스트 보안 모델에 대한 개념 소개와 인식 제고를 넘어 실제 기업에서 도입하고 활용하는데 실질적인 도움이 될 수 있도록 미국 등 해외 최신 전략과 지침 등 다양한 정책 문서를 참고하고 제로트러스트 기존 실증사업 결과를 포함해 도입을 위한 세부 절차와 방법론을 보강하는 등 제로트러스트 보안모델 도입·적용을 희망하는 수요자 관점에서 구성했다.
특히 각 기업이 제로트러스트 보안 모델을 도입하려고 할 때 현재 수준을 진단·분석하거나 목표를 설정하고 검증하는 데 활용할 수 있도록 기존 3단계에서 4단계로 구체화된 ‘성숙도 모델’을 정의했으며, 기업망을 구성하는 핵심요소에 대한 세부역량과 성숙도 수준별 특징을 설명하고 평가를 위한 체크리스트 제공 및 향상 방안을 제시했다.
▲제로트러스트 성숙도 향상을 위한 핵심 기능과 세부역량[자료=과기정통부]
이번 제로트러스트 가이드라인 2.0은 단순히 제로트러스트의 기술적 방안을 설명하는 데 그치지 않고, 단계별 고려사항, 조직의 역할, 로드맵 수립을 위한 구체적 방법론 및 예시를 포함해 도입을 위한 준비부터 실제 운영과 정착까지 도움이 될 수 있도록 했다.
과기정통부 류제명 네트워크정책실장은 “사이버 침해가 갈수록 고도화되고 다양한 디지털 신기술의 확산으로 기업의 보안 관리 포인트가 급격히 증가하는 상황에서 제로트러스트 보안 체계 전환이 시급하다”고 말했다. 이어 “이번 가이드라인 2.0이 앞으로 각 산업 분야의 제로트러스트 보안 모델 도입을 위한 구체적 실무 진행의 좋은 참고서가 될 것으로 기대한다”며 “정부는 앞으로도 지속해서 국내 기업의 제로트러스트 확산을 지원할 것”이라고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
