과기정통부, ‘제로트러스트 가이드라인 2.0’ 발표

출처: https://www.itbiznews.com/news/articleView.html?idxno=153928

과기정통부, ‘제로트러스트 가이드라인 2.0’ 발표

제로트러스트 도입 수준 진단·역량 강화 방법론 제시
현장 도입 시 실질 지침서 역할 수행

제로트러스트 보안 모델, 구성요소 [자료=과기정통부]

과학기술정보통신부와 한국인터넷진흥원(KISA)이 ‘제로트러스트 가이드라인 2.0’을 발표했다. 산·학·연 전문가들과 함께 수립한 가이드라인이 기업·기관의 제로트러스트 도입 시 실질적인 지침서 역할을 할 것으로 과기정통부는 기대했다. 

제로트러스트는 정보체계 등에 대한 접속 요구가 있을 때 연결망이 이미 침해된 것으로 간주하고, 보안 절차를 적용해야 한다는 보안 방법론으로, ‘절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)’를 기본 원칙으로 한다. 


연결망의 내·외부를 구분하고, 내부자에게 암묵적인 신뢰를 부여하는 ‘경계기반’ 보안 방식을 취하는 기존 보안 모형의 경우, 이미 내부망에 침입한 공격 행위에 무력한 반면, 제로트러스트 방식은 모든 연결에 보안 절차 이행을 요구해 보안성을 보다 높일 수 있다. 

제로트러스트 가이드라인 2.0은 미국 등 해외 최신 정책 문서(전략, 지침 등)를 참고하고, 제로트러스트 기존 실증사업 결과를 포함하는 등 도입을 위한 세부 절차와 방법론을 보강해 실제 기업에서 제로트러스트 모델을 도입·활용하는데 실질적인 도움이 될 수 있도록 했다. 

특히 각 기업이 제로트러스트 보안 모형을 도입하고자 할 때 현재 수준을 진단·분석하거나 목표를 설정하고 검증하는 데 활용할 수 있도록 기존 3단계에서 4단계로 구체화된 ‘성숙도 모형’을 정의했으며, 기업망을 구성하는 핵심요소에 대한 세부역량과 성숙도 수준별 특징을 설명하고 평가를 위한 점검표 제공과 향상 방안도 가이드라인에서 제시되도록 했다. 

과기정통부가 발표한 제로트러스트 가이드라인 1.0이 제로트러스트 보안 모형의 이해와 확산 촉진을 위해 기본 개념과 원리, 핵심 원칙 등을 중심으로 기술됐던 반면, 제로트러스트 가이드라인 2.0은 실제 현장 도입에 초점을 맞춰 실질적인 모델 적용을 지원하는 것이다.


과기정통부는 지난해 7월 가이드라인 1.0 발표 이후  실증·시범사업을 통해 제로트러스트 보안 모형의 확산 기반 마련을 위한 노력을 전개한 바 있다. 

과기정통부 류제명 네트워크정책실장은 “사이버침해가 갈수록 고도화되고 다양한 디지털 신기술의 확산으로 기업의 보안 관리 요소가 급격히 증가하는 상황에서 제로트러스트 보안 체계 전환은 시급하다”면서, “이번 가이드라인이 앞으로 각 산업 분야의 제로트러스트 보안 모형 도입을 위한 구체적 실무 진행의 좋은 참고서가 될 것으로 기대한다”고 말했다. 

출처 : ITBizNews(https://www.itbiznews.com)

241203 즉시 (보도) 과기정통부 제로트러스트 가이드라인 2.0 발표(수정).hwpx

0.91MB

제로트러스트 가이드라인 2.0.pdf

6.79MB