[3줄 요약]
1. 제3회 정보보호 정책 제안 공모전 대상 수상 ‘DAPOZER’ 팀 인터뷰
2. BoB 14기 교육생, 제시한 제로트러스트 구축 및 진단·평가 솔루션 ‘DAPOZ’
3. “점수 70점 넘으면 망분리 대체”...평가 자동화 솔루션 ‘DAPOZ’도 개발
[보안뉴스 조재호 기자] 망 분리 정책이 변화의 기로에 섰다. 정부가 클라우드와 인공지능(AI) 도입을 위해 물리적 망 분리 규제 완화를 선언했지만, 현장에선 “도대체 얼마나 보안을 잘해야 망을 풀어줄 것인가?”라는 질문에 명확한 답을 얻지 못하고 있다.
▲데이포저 정책팀 김채은 PM이 수상 기념촬영을 하고있다. [자료: 보안뉴스]
이러한 모호함 속에 당차게 ‘숫자’를 들고 나온 청년들이 있다. 차세대 보안 리더 양성 프로그램(BoB) 14기 교육생으로 구성된 ‘데이포저’(DAPOZER) 팀이다. 이들은 추상적 제로트러스트 보안 수준을 눈에 보이는 점수로 환산하는 ‘제로트러스트 영향평가’(ZTIA) 모델을 제안하고, 평가 자동화 솔루션 ‘데이포즈’(DAPOZ)를 직접 개발했다.
데이포저 구성원들은 ‘제3회 정보보호 정책 제안 공모전’에 이같은 아이디어를 제안, 19일 서울 삼정호텔에서 열린 ‘2025 정보보호 인재양성 교육사업 성과공유회’에서 대상인 과학기술정보통신부 장관상을 수상했다.
“70점, 망분리 대체를 위한 최소한의 안전선”
김채은 PM과 안현선, 백승렬, 오세희, 홍혜원 등 보안을 공부하는 대학생들로 구성된 데이포저의 제안은 파격적이면서 구체적이다. 핵심은 ZTIA 모델을 통해 산출된 보안 점수가 70점을 넘길 경우, 물리적 망 분리를 대체할 수 있도록 법적 근거를 마련하자는 것이다.
김채은 PM은 “70점은 단순한 평균 점수가 아니라, 한국인터넷진흥원(KISA) 제로트러스트 가이드라인 2.0과 국제 기준을 기반으로 5대 영역 전반에서 최소 수준 이상의 통제가 되고 있음을 의미한다”며 “핵심 통제가 미흡하면 구조적으로 점수가 낮아지게 설계해 보수적인 공공·금융 환경에서도 망 분리 대체를 논의할 수 있는 ‘최소한의 안전선’이 될 것”이라고 말했다.
특히 평가 모델의 가중치에서 ‘식별자’에 가장 높은 비중(25%)을 줬다. 안현선 팀원은 “원격근무와 클라우드 환경의 네트워크 경계보다 ‘누가, 어떤 상태로 접근했는가’가 보안의 출발점”이라며 신원 중심 보안의 중요성을 강조했다.
▲제로트러스트 구축 및 진단·평가 솔루션 ‘DAPOZ [자료: 데이포저]
정책과 기술의 조화, 자동화 솔루션 ‘DAPOZ’
이들의 제안이 심사위원을 사로잡은 것은 정책 제안에 그치지 않고, 이를 기술적으로 구현한 솔루션 ‘데이포즈’(DAPOZ)를 함께 내놓았기 때문이다. DAPOZ는 온프레미스 환경에서 에이전트 방식으로 작동하며, 기업의 제로트러스트 성숙도를 진단하고 시뮬레이션한다.
DAPOZ의 차별점은 ‘BIC 루프(Baseline-Insight-Consolidation Loop)’ 프로세스다. 초기 보안 환경이 미흡한 조직에 최소한의 베이스라인(Baseline)을 구축하고, 위협 시나리오를 식별(Insight)한 뒤, 정책을 강화(Consolidation)하는 선순환 구조를 제공한다.
기술 구현은 백승렬, 오세희, 홍혜원 팀원이 맡았다. 개별 이벤트가 아닌 계정 탈취, 권한상승, 횡적이동 등 윈도우 내부망에서 빈번한 공격 흐름을 시나리오 단위로 구성하고 식별해 실질적인 위협 수준을 판단하도록 설계했다. 최근 발표된 국가망 보안체계(N2SF) 가이드라인과 기술적 호환성도 확보해 활용도를 높였다.
▲BoB 14기로 구성된 ‘데이포저’팀 (왼쪽 위부터) 홍혜원, 백승렬, 오세희, 안현선, 김채은 PM [자료: 데이포저]
“오픈소스로 배포… 제로트러스트 도입 마중물 될 것”
미국과 호주 등 보안 선진국이 제로트러스트를 법제화하는 흐름 속에서 우리나라도 정책적 뒷받침이 필요하다는 문제의식에서 프로젝트는 시작했다. BoB 멘토링 과정을 통해 기술적으로 어려운 주제를 누구나 납득할 수 있는 언어로 풀어내 정책 구조와 설명 방식을 정리한 것이 수상의 원동력이 됐다.
팀은 창업보다는 ‘공공의 이익’을 택했다. 데이포즈를 오픈소스로 배포해 제로트러스트 도입을 망설이는 기업들에게 실질적 가이드를 제공하겠다는 것이다.
김채은 PM은 “데이포즈는 규제가 엄격해 온프레미스 환경을 고수해야 하는 금융권 등에서 규제와 상관없이 사용할 수 있는 최적의 솔루션”이라며 “기업들이 간편하게 제로트러스트 정책을 구축하고 지속적으로 고도화하는 데 도움이 되길 바란다”고 전했다.
[조재호 기자(sw@boannews.com)]
1. 제3회 정보보호 정책 제안 공모전 대상 수상 ‘DAPOZER’ 팀 인터뷰
2. BoB 14기 교육생, 제시한 제로트러스트 구축 및 진단·평가 솔루션 ‘DAPOZ’
3. “점수 70점 넘으면 망분리 대체”...평가 자동화 솔루션 ‘DAPOZ’도 개발
[보안뉴스 조재호 기자] 망 분리 정책이 변화의 기로에 섰다. 정부가 클라우드와 인공지능(AI) 도입을 위해 물리적 망 분리 규제 완화를 선언했지만, 현장에선 “도대체 얼마나 보안을 잘해야 망을 풀어줄 것인가?”라는 질문에 명확한 답을 얻지 못하고 있다.
▲데이포저 정책팀 김채은 PM이 수상 기념촬영을 하고있다. [자료: 보안뉴스]
이러한 모호함 속에 당차게 ‘숫자’를 들고 나온 청년들이 있다. 차세대 보안 리더 양성 프로그램(BoB) 14기 교육생으로 구성된 ‘데이포저’(DAPOZER) 팀이다. 이들은 추상적 제로트러스트 보안 수준을 눈에 보이는 점수로 환산하는 ‘제로트러스트 영향평가’(ZTIA) 모델을 제안하고, 평가 자동화 솔루션 ‘데이포즈’(DAPOZ)를 직접 개발했다.
데이포저 구성원들은 ‘제3회 정보보호 정책 제안 공모전’에 이같은 아이디어를 제안, 19일 서울 삼정호텔에서 열린 ‘2025 정보보호 인재양성 교육사업 성과공유회’에서 대상인 과학기술정보통신부 장관상을 수상했다.
“70점, 망분리 대체를 위한 최소한의 안전선”
김채은 PM과 안현선, 백승렬, 오세희, 홍혜원 등 보안을 공부하는 대학생들로 구성된 데이포저의 제안은 파격적이면서 구체적이다. 핵심은 ZTIA 모델을 통해 산출된 보안 점수가 70점을 넘길 경우, 물리적 망 분리를 대체할 수 있도록 법적 근거를 마련하자는 것이다.
김채은 PM은 “70점은 단순한 평균 점수가 아니라, 한국인터넷진흥원(KISA) 제로트러스트 가이드라인 2.0과 국제 기준을 기반으로 5대 영역 전반에서 최소 수준 이상의 통제가 되고 있음을 의미한다”며 “핵심 통제가 미흡하면 구조적으로 점수가 낮아지게 설계해 보수적인 공공·금융 환경에서도 망 분리 대체를 논의할 수 있는 ‘최소한의 안전선’이 될 것”이라고 말했다.
특히 평가 모델의 가중치에서 ‘식별자’에 가장 높은 비중(25%)을 줬다. 안현선 팀원은 “원격근무와 클라우드 환경의 네트워크 경계보다 ‘누가, 어떤 상태로 접근했는가’가 보안의 출발점”이라며 신원 중심 보안의 중요성을 강조했다.
▲제로트러스트 구축 및 진단·평가 솔루션 ‘DAPOZ [자료: 데이포저]
정책과 기술의 조화, 자동화 솔루션 ‘DAPOZ’
이들의 제안이 심사위원을 사로잡은 것은 정책 제안에 그치지 않고, 이를 기술적으로 구현한 솔루션 ‘데이포즈’(DAPOZ)를 함께 내놓았기 때문이다. DAPOZ는 온프레미스 환경에서 에이전트 방식으로 작동하며, 기업의 제로트러스트 성숙도를 진단하고 시뮬레이션한다.
DAPOZ의 차별점은 ‘BIC 루프(Baseline-Insight-Consolidation Loop)’ 프로세스다. 초기 보안 환경이 미흡한 조직에 최소한의 베이스라인(Baseline)을 구축하고, 위협 시나리오를 식별(Insight)한 뒤, 정책을 강화(Consolidation)하는 선순환 구조를 제공한다.
기술 구현은 백승렬, 오세희, 홍혜원 팀원이 맡았다. 개별 이벤트가 아닌 계정 탈취, 권한상승, 횡적이동 등 윈도우 내부망에서 빈번한 공격 흐름을 시나리오 단위로 구성하고 식별해 실질적인 위협 수준을 판단하도록 설계했다. 최근 발표된 국가망 보안체계(N2SF) 가이드라인과 기술적 호환성도 확보해 활용도를 높였다.
▲BoB 14기로 구성된 ‘데이포저’팀 (왼쪽 위부터) 홍혜원, 백승렬, 오세희, 안현선, 김채은 PM [자료: 데이포저]
“오픈소스로 배포… 제로트러스트 도입 마중물 될 것”
미국과 호주 등 보안 선진국이 제로트러스트를 법제화하는 흐름 속에서 우리나라도 정책적 뒷받침이 필요하다는 문제의식에서 프로젝트는 시작했다. BoB 멘토링 과정을 통해 기술적으로 어려운 주제를 누구나 납득할 수 있는 언어로 풀어내 정책 구조와 설명 방식을 정리한 것이 수상의 원동력이 됐다.
팀은 창업보다는 ‘공공의 이익’을 택했다. 데이포즈를 오픈소스로 배포해 제로트러스트 도입을 망설이는 기업들에게 실질적 가이드를 제공하겠다는 것이다.
김채은 PM은 “데이포즈는 규제가 엄격해 온프레미스 환경을 고수해야 하는 금융권 등에서 규제와 상관없이 사용할 수 있는 최적의 솔루션”이라며 “기업들이 간편하게 제로트러스트 정책을 구축하고 지속적으로 고도화하는 데 도움이 되길 바란다”고 전했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
