한국제로트러스트보안협회(회장 이무성)는 지난 1월 13일 협회 회의실에서 산·학·연 전문가들을 대상으로 미국 국가표준기술연구소(NIST)의 Zero Trust(ZT) 보안 실증사업 설명회를 개최하고, 향후 우리나라의 제로트러스트 보안 실증사업 정책 방향에 관한 토론회를 진행했다고 밝혔다.
미국 NIST 소속의 NCCoE(National Cybersecurity Center of Excellence)는 Microsoft, Palo Alto Networks, Zscaler 등 24개 기업들과 19개의 공동 실증 환경을 구축하여 2022년 7월부터 2025년 5월까지 ZT실증을 수행하고 실증한 결과를 토대로 "Zero Trust Architecture(ZTA) 구축을 위한 가이드라인(NIST SP 1800-35)"을 2025년 6월 발표한 바 있다.
NCCoE는 강화인증, SDP(Software Defined Perimeter), 마이크로세그멘테이션 등 제로트러스트 원칙에 부합하는 19개 아키텍처를 구축하고, 각 아키텍처에 8개의 사용 사례(use case)와 57개 시나리오에 대한 기능을 시연하여 그 결과에 대한 시사점과 함께 제로트러스트를 구현하기 위한 가이드라인을 제시했다.
 |
사진제공=제로트러스트보안협회 |
미국 NIST 소속의 NCCoE(National Cybersecurity Center of Excellence)는 Microsoft, Palo Alto Networks, Zscaler 등 24개 기업들과 19개의 공동 실증 환경을 구축하여 2022년 7월부터 2025년 5월까지 ZT실증을 수행하고 실증한 결과를 토대로 "Zero Trust Architecture(ZTA) 구축을 위한 가이드라인(NIST SP 1800-35)"을 2025년 6월 발표한 바 있다.
NCCoE는 강화인증, SDP(Software Defined Perimeter), 마이크로세그멘테이션 등 제로트러스트 원칙에 부합하는 19개 아키텍처를 구축하고, 각 아키텍처에 8개의 사용 사례(use case)와 57개 시나리오에 대한 기능을 시연하여 그 결과에 대한 시사점과 함께 제로트러스트를 구현하기 위한 가이드라인을 제시했다.
간담회 참석자들은 2023년부터 매년 과기정통부와 한국인터넷진흥원(KISA)이 지원하고 있는 ZT실증사업이 앞으로는 △기존 환경(하드웨어, 소프트웨어, 에플리케이션, 데이터 및 서비스)에 어떠한 리소스가 있는지를 특정하고, 모든 자산을 식별하여 목록을 작성할 필요가 있으며, △조직이 보호해야 할 모든 리소스에 대한 접근 정책은 각 리소스에 대한 엑세스 허가와 인가가 최소 특권과 직무 분장의 원칙에 적합하도록 기획되어야 하며, △데이터의 가치(중요도)에 기반한 리스크 기반 접근을 적용, 제로트러스트 정책과 프로세스 간의 간극을 없애도록 설계되어야 한다는 데 의견 일치를 보았다.
이 날 간담회 참석자들은 우리나라도 미국처럼 한국인터넷진흥원(KISA)이 국산 ZT 솔루션으로 연구실 실증환경을 구축하고 테스트하여 다양한 ZT실증 모델을 개발·보급함으로써, 국내 제로트러스트보안의 확산과 국가 사이버보안 대응력을 높일 필요가 있다고 입을 모았다.
허남이 기자 nyheoo@mt.co.kr
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.