[보안뉴스 조재호 기자] 시원네트웍스는 자사 인증 솔루션 ‘쿠스토’(CUSTO)가 조달청 디지털서비스몰에 등록됐다고 12일 밝혔다.

쿠스토는 제로트러스트 기반 패스워드리스(Passwordless) 인증 솔루션이다. 지속적 검증과 모니터링을 통해 제로트러스트 모델링을 구현했다. 9일 발표된 국가 망 보안체계(N²SF) 가이드라인 요건을 충족한다.


[자료: 시원네트웍스]

이 솔루션은 패스워드 대신 신분증이나 지정맥, 휴대폰 등 지정된 물리적 인증 매체를 활용해 패스워드로 인한 보안 취약점을 원천 차단한다. 지속적으로 인증 매체를 검증해 사용자가 단말기에서 이동하면 자동으로 화면이 잠긴다.

이를 통해 인증 후 자리 비움으로 인해 벌어질 수 있는 무단 접근을 막는다. 로그인마다 양자 난수 기반 암호화 기법을 적용했고, 모든 인증을 로컬 환경에서 처리해 폐쇄망이나 망 분리 환경에서도 활용할 수 있다.

N²SF 가이드라인의 보안통제 항목 해설서에선 제2장 인증 부분이 가장 큰 비중을 차지하며 내용도 세분화됐다. 이는 제로트러스트 환경 보안 통제에 있어 인증 부분을 눈여겨보고 있다는 의미로 해석된다.

제로트러스트 보안 구축을 위해선 지속적 검증이 필요하다. 패스워드나 OTP, FIDO, 생체인증 등 전통적 경계성 기반 인증 솔루션은 한 번만 인증을 수행하면 자유롭게 시스템을 사용할 수 있어 지속 보안에 약점을 보인다.

N²SF에서 말하는 제로트러스트는 미국국립표준기술원(NIST)의 위험관리 프레임워크(RMF)가 제공하는 오버레이 개념을 적용한다. 지속적 검증을 통한 사용자 관리 강화를 말한다. 또 국정원은 N²SF 확산을 위해 사이버보안 관리실태평가지표를 반영해 이행력을 강화할 방침이다. 이 역시 안전한 인증 적용을 중시하는 것이라 할 수 있다.

권윤정 시원네트웍스 대표는 “‘절대 신뢰하지 말고 항상 검증하라’는 제로트러스트 원칙은 지속적 검증과 모니터링이라는 가장 기본적 원칙을 강조한다”며 “N²SF 보안 구현에 있어서도 가장 먼저 논의되는 부분은 ‘전환 전략’으로, 새로운 보안 모델 실천과 점진적 전환에 있어 쿠스토는 강력한 내부통제 모범으로 자리매김할 수 있을 것”이라고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>