‘운영 기술(OT) 환경의 제로트러스트 적용 안내서’ 발표
[보안뉴스 강현주 기자] 한국인터넷진흥원(KISA·원장 이상중)은 새로운 보안 위협을 선제적으로 파악하고 운영 기술 보안의 패러다임 전환을 위해 ‘운영 기술(OT) 환경의 제로트러스트 적용 안내서’를 국내 최초로 마련했다고 22일 밝혔다.
제로트러스트는 정보시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 “절대 신뢰하지 말고, 항상 검증하라”는 보안 개념이다. OT는 산업 설비와 공정을 실시간으로 제어·운영하는 기술로, 전력·교통·에너지 등 국가 주요 인프라의 안정적 운영에 핵심적 역할을 수행하고 있다.
▲운영 기술(OT) 환경의 제로트러스트 적용 안내서 [자료: KISA]
과학기술정보통신부와 한국인터넷진흥원은 2023년 7월 제로트러스트의 기본개념과 원리, 핵심 원칙 등을 담은 제로트러스트 가이드라인 1.0을 마련했다. 2024년 12월에는 실제 기업에서 제로트러스트 보안 모델을 활용하는 데 도움을줄 수 있도록 실증사업 결과, 세부 도입 절차 및 방법론 등을 포함한 제로트러스트 가이드라인 2.0을 마련했다.
이번에 발표하는 ‘OT 환경의 제로트러스트 적용 안내서’는 리소스‧데이터 접근제어를 위한 지속적인 인증 및 동적 검증 등을 수행하는 기존 정보 기술(IT) 환경에서의 제로트러스트와는 차이가 있다. 현장 장비의 가용성과 실시간성을 요구하는 운영 기술(OT) 환경의 특성을 고려한 국내 최초 운영 기술(OT) 특화 제로트러스트 적용 방안을 제시한 것이 특징이다.
이번 안내서는 운영 기술(OT) 환경에 제로트러스트를 적용하기 위해 정보 기술(IT)과 운영 기술(OT) 네트워크 계층을 구분하는 퍼듀(Purdue) 모델을 포괄한다. 국내 산업 환경에 맞게 제로트러스트 가이드라인 2.0의 6대 핵심요소를 기반으로 제로트러스트 요구사항을 제시했다.
KISA는 추후 추가적인 연구를 통해 단계별 성숙도 모델로 발전시키는 것을 목표로 하고 있다. 운영 기술(OT) 특화 제로트러스트를 위한 핵심 원칙으로는 △실시간성
‧가용성 유지 △운영 기술(OT) 장비의 독립성 유지 △OT‧IT 전역에서의 침해 가정 △지속적 모니터링이라는 제로트러스트 원칙이 공통적으로 적용돼야 한다.
미국 등 글로벌 선진국도 운영 기술(OT) 보안을 중요하게 여겨 다양한 전략을 수행하고 있어, 이러한 움직임에 발맞추어 국내에서도 기존 제도를 보완함으로써 OT 보안 강화를 위한 선제적인 실증 연구·대응 방안 마련 등을 지속 추진해 나갈 예정이다.
‘OT 환경의 제로트러스트 적용 안내서’는 한국인터넷 KISA 누리집(지식플랫폼 → 법령‧가이드라인 → 가이드라인)에서 확인할 수 있다.
이상중 원장은 “이번 안내서가 국내 운영 기술(OT) 보안에 대한 인식을 제고하고, 산업 현장의 운영 기술(OT) 보안 수준을 한 단계 높이는 데 기여하길 바란다”며“OT 환경의 제로트러스트 적용필요성과 적용 방안 등을 정립한 안내서를 개발하여 OT 보안의 패러다임 전환이 필요한 시점이며, 글로벌 선도국 지침을 참고한 세부내용 고도화 보안 안내서를 지속 개발해 나가겠다”고 덧붙였다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] 한국인터넷진흥원(KISA·원장 이상중)은 새로운 보안 위협을 선제적으로 파악하고 운영 기술 보안의 패러다임 전환을 위해 ‘운영 기술(OT) 환경의 제로트러스트 적용 안내서’를 국내 최초로 마련했다고 22일 밝혔다.
제로트러스트는 정보시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 “절대 신뢰하지 말고, 항상 검증하라”는 보안 개념이다. OT는 산업 설비와 공정을 실시간으로 제어·운영하는 기술로, 전력·교통·에너지 등 국가 주요 인프라의 안정적 운영에 핵심적 역할을 수행하고 있다.
▲운영 기술(OT) 환경의 제로트러스트 적용 안내서 [자료: KISA]
과학기술정보통신부와 한국인터넷진흥원은 2023년 7월 제로트러스트의 기본개념과 원리, 핵심 원칙 등을 담은 제로트러스트 가이드라인 1.0을 마련했다. 2024년 12월에는 실제 기업에서 제로트러스트 보안 모델을 활용하는 데 도움을줄 수 있도록 실증사업 결과, 세부 도입 절차 및 방법론 등을 포함한 제로트러스트 가이드라인 2.0을 마련했다.
이번에 발표하는 ‘OT 환경의 제로트러스트 적용 안내서’는 리소스‧데이터 접근제어를 위한 지속적인 인증 및 동적 검증 등을 수행하는 기존 정보 기술(IT) 환경에서의 제로트러스트와는 차이가 있다. 현장 장비의 가용성과 실시간성을 요구하는 운영 기술(OT) 환경의 특성을 고려한 국내 최초 운영 기술(OT) 특화 제로트러스트 적용 방안을 제시한 것이 특징이다.
이번 안내서는 운영 기술(OT) 환경에 제로트러스트를 적용하기 위해 정보 기술(IT)과 운영 기술(OT) 네트워크 계층을 구분하는 퍼듀(Purdue) 모델을 포괄한다. 국내 산업 환경에 맞게 제로트러스트 가이드라인 2.0의 6대 핵심요소를 기반으로 제로트러스트 요구사항을 제시했다.
KISA는 추후 추가적인 연구를 통해 단계별 성숙도 모델로 발전시키는 것을 목표로 하고 있다. 운영 기술(OT) 특화 제로트러스트를 위한 핵심 원칙으로는 △실시간성
‧가용성 유지 △운영 기술(OT) 장비의 독립성 유지 △OT‧IT 전역에서의 침해 가정 △지속적 모니터링이라는 제로트러스트 원칙이 공통적으로 적용돼야 한다.
미국 등 글로벌 선진국도 운영 기술(OT) 보안을 중요하게 여겨 다양한 전략을 수행하고 있어, 이러한 움직임에 발맞추어 국내에서도 기존 제도를 보완함으로써 OT 보안 강화를 위한 선제적인 실증 연구·대응 방안 마련 등을 지속 추진해 나갈 예정이다.
‘OT 환경의 제로트러스트 적용 안내서’는 한국인터넷 KISA 누리집(지식플랫폼 → 법령‧가이드라인 → 가이드라인)에서 확인할 수 있다.
이상중 원장은 “이번 안내서가 국내 운영 기술(OT) 보안에 대한 인식을 제고하고, 산업 현장의 운영 기술(OT) 보안 수준을 한 단계 높이는 데 기여하길 바란다”며“OT 환경의 제로트러스트 적용필요성과 적용 방안 등을 정립한 안내서를 개발하여 OT 보안의 패러다임 전환이 필요한 시점이며, 글로벌 선도국 지침을 참고한 세부내용 고도화 보안 안내서를 지속 개발해 나가겠다”고 덧붙였다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.png)
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
