Scott Rose, Oliver Borchert, Stu Mitchell, Sean Connelly, “Zero Trust Architecture”, NIST, NIST Special Publication 800-207, 2020, 재가공 Nathan Parde, “Zero-trust architecture may hold the answer to cybersecurity insider threats”, MIT Lincoln Laboratory, MIT News, 2022, 재가공
<-> 경계형 시큐리티
NIST SP 800-27 (2020)
(원칙) 아무것도 신뢰하지 않고 언제나 검증한다(Never Trust, Always Verify)
https://byline.network/2023/07/0710_004/
[그림 4] 제로 트러스트 성숙도 모델
(동작방식) 네트워크 위치 뿐만 아니라 모든 사용자, 기기 및 네트워크 트래픽에 대한 비신뢰 상태에서 강화된 인증, 기기 상태와 주변 상황 등을 통해 접속 주체의 신뢰도를 검증 후 일정 수준 이상의 신뢰도가 부여된 접속 주체에게만 최소한의 권한을 부여
국내 산업 보안에 적용될 제로트러스트(ZeroTrust) 가이드라인이 이르면 올해 중 공개될 전망이다. 가이드라인이 완성되면 국가 표준화를 추진한다. 파급력이 큰 공급망에 대한 사이버 공격을 막기 위한 제언도 나왔다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 ‘제로트러스트·공급망 보안 정책 포럼’을 구성하고 26일 발족식을 개최했다. 새로운 보안체계로 주목받는 제로트러스트와 공급망 보안이 국내 정보보호 환경에 도입될 수 있도록 논의하는 자리다.
제로트러스트는 ‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’는 원칙 아래 내부자들도 믿지 않고 더욱 강력한 보안 체계를 구축하는 개념이다. 외부 접속을 차단하는 등의 경계 기반 보안과는 구별된다. 세계적인 흐름이지만 우리나라는 아직 구체적인 방향이나 도입 방법을 담은 가이드라인이 나오지 않은 상태다.
일부를 공개한 초안 목차에는 제로트러스트 개요를 비롯해
▲제로트러스트 아키텍처 보안 모델
▲제로트러스트 도입 절차
▲구현 케이스 등이 담겼다.
빠르면 올해 말에서 늦어도 2023년 초에는 작업이 완료될 거라는 게 이석준 분과장의 설명이다. 가이드라인이 완성되면 국가 표준화를 추진할 방침이다.
그는 “국가적으로 제로트러스트 도입 정책 수립과 실증을 위한 기본모델로 활용될거라 생각한다”며 “(도입을 위한 세부 절차까지) 아주 구체화한 것은 아니기 때문에 추가적인 지침서도 만들어져야 할 것”이라고 말했다.
제로트러스트·공급망 보안 포럼은 기존 사이버보안 패러다임 전환연구반의
▲제로트러스트
▲공급망 보안
▲메타버스·NFT
▲AI·6G·양자보안
▲IoT보안 등 5개 분과 가운데 제로트러스트와 공급망 보안 분과를 확대 재편한 조직이다. 운영위원회를 비롯해 제로트러스트와 공급망 보안 각각 2개 분과로 구성해 운영한다. 제로트러스트는 정책·제도와 산업·기술, 공급망 보안은 정책·산업과 기술·표준 분과로 구성한다. 간사는 KISA가 맡았다. 포럼은 앞으로 연구, 실증사업 등을 통해 검증을 진행하고 최종적으로는 국가 표준화를 추진할 계획이다.
