국산 제로 트러스트 보안모델 발표

오늘 12월 11일, 과기부와 KISA는 국내 기업망 환경에 적용할 수 있는 제로트러스트 기본모델 2종을 발표했다. 이는 올 7월에 발표한 제로트러스트 가이드라인 1.0을 기반으로 기존 모델에서 업그레이드된 것이라고 한다.

 

그렇다면 제로 트러스트 모델은 무엇일까? 제로 트러스트 모델은 최근 몇 년간 큰 관심을 얻은 개념이다. 이름의 신뢰 0에서도 알 수 있듯, 네트워크 내부 또는 외부의 어떤 개체도 신뢰하지 않는 것이 핵심이다. 어느 곳에 위치하건, 모든 사용자와 장치는 잠재적인 위협군으로 취급되는 것이다. 이 모델은 보안을 보장하기 위해 신원 확인 및 지속적인 모니터링에 중점을 둔다.

 

제로 트러스트가 최근 떠오르게 된 이유는 하이브리드 작업 환경으로 인해 기존의 온 프레미스 네트워크 기반 보안 모델이 쓸모없게 되었기 때문이다. 그런 상황에서 제로 트러스트는 특히 원격 작업과 클라우드 기반 서비스가 표준이 되면서 조직의 자산을 보호하는 수단으로 떠오른 것이다.

 

다시 돌아와서, 국내에서 발표한 2종 모델 중 첫번째는 '클라우드 업무환경을 위한 제로 트러스트 기본 모델'이다.

보호해야 할 서비스, 서버, 애플리케이션, 데이터 등을 각각 논리적으로 분리 및 보호하였으며, PEP(Policy Enforcement Point)가 탑재된 제로 트러스트 전용 라우터를 개발 및 적용한 것이다. 접근제어에서 접근 자원에 대한 신뢰도 평가 및 인증은 PDP(Policy Decision Point)와 PEP 간 통신에 의해 결정되는데, PDP가 제어 영역이라면 PEP는 데이터 영역이라 할 수 있다. 접근 주체가 리소스에 접근할 시에 어떤 정책을 결정했냐에 따라 연결과 종료를 담당하는 것이다. 

 

두번째 모델은 '구축형 업무환경을 위한 제로 트러스트 기본 모델'이다. 접속 요구자의 보안수준을 점수화하여 접속 단계부터 보안을 강화하고 접속 중 점수 변경이 생기는 경우 접속 차단 또는 접속 가능한 리소스를 제한할 수 있는 동적 인증체계를 도입한 것이다. 

 

이 기사를 보면서 제로 트러스트 보안 구현에 대해 개인적으로 좀 살펴보았는데, 상당히 복잡한 작업으로 보였다. 보통 이런 모델은 가장 중요한 첫째는 빠르게 변화하는 위협 환경에 적응할 수 있을지가 될 것이고, 둘째는 여러 회사의 플랫폼에서 장애 없이 일관적인 성능을 유지할 수 있는지가 될 것이다. 이런 포인트를 유지할 수 있다면 정말 기사 말대로 해외진출도 가능하지 않을까?

 

 

기사 출처: https://www.boannews.com/media/view.asp?idx=124646