과학기술정보통신부(장관 유상임, 이하 과기정통부)와 한국인터넷진흥원(KISA)이 12월 3일, 국내 기업의 보안 역량 강화를 위해 ‘제로트러스트 가이드라인 2.0’을 발표했다.

이번 가이드라인은 최신 보안 트렌드와 실증 사례를 바탕으로 제로트러스트 보안 모델의 도입과 적용에 필요한 구체적인 절차와 방법론을 제시해 기업의 실질적인 보안 체계 전환을 지원할 것으로 기대된다.

제로트러스트(Zero Trust)는 "절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)"는 원칙을 기반으로 한 보안 모델이다. 전통적인 경계 기반 보안 방식이 내부 네트워크와 외부 네트워크를 구분하고 내부에 암묵적인 신뢰를 부여한 것과 달리, 제로트러스트는 네트워크 내외부를 불문하고 모든 접근 요청을 지속적으로 검증하며 보안성을 높이는 새로운 개념이다.

최근 클라우드, 재택근무, 원격근무 등 디지털 기술 활용이 확산되면서 전통적인 보안 모델의 한계가 드러났다. 이에 따라 과기정통부는 지난해 7월 ‘제로트러스트 가이드라인 1.0’을 발표하며 기본 개념과 원칙을 제시했으며, 이번에는 보다 구체적인 실행 지침을 담은 2.0 버전을 선보였다.

◆2.0 버전의 주요 특징

‘제로트러스트 가이드라인 2.0’은 기존 1.0 버전에서 제시했던 개념을 더욱 구체화하고, 기업들이 실질적으로 도입할 수 있는 방안을 포함하고 있다. 주요 특징은 다음과 같다.

1. 성숙도 모델의 고도화

기존 3단계(기존-향상-최적화)로 구성된 성숙도 모델에서 ‘초기’ 단계를 추가한 4단계(기존-초기-향상-최적화)로 확대했다.

기업망 핵심 요소를 기존 20가지 기능에서 27가지 기능으로 확대했으며, 성숙도 수준별 특징을 명확히 정의했다.

6가지 핵심 요소와 2가지 교차 기능에 대한 총 52가지 세부 보안 역량을 포함하여 실행 가능한 가이드라인을 제공했다.

2. 구체적인 도입 절차 제시

‘준비 → 계획 → 구현 → 운영 → 피드백 및 개선’의 총 5단계 도입 절차를 체계적으로 정리했다.

각 단계에서 고려해야 할 사항, 조직 내 역할, 목표 설정 방법 등을 구체적으로 설명했으며, 기업의 실제 사례를 바탕으로 실질적인 예시를 포함했다.

3. 도입 수준 평가 및 체크리스트 제공

기업들이 제로트러스트 도입 수준을 평가할 수 있도록 체크리스트와 평가 도구를 제공했다.

성숙도 기반 분석과 침투 시험 기반 효과성 평가 방안을 추가하여 도입 후 보안 수준을 진단할 수 있는 체계를 마련했다.

4. 실증 사례 및 글로벌 자료 반영

미국의 OMB(관리예산실) 및 CISA(미국 사이버보안 인프라 보안국)의 문서를 참고하여 국제적인 최신 정책과 실증 사례를 반영했다.

부록으로 2023년도 국내 실증 사업의 주요 사례를 소개해 기업이 도입 시 참고할 수 있도록 했다.

◆기업 맞춤형 가이드라인으로 발전

과기정통부는 이번 2.0 버전을 통해 제로트러스트 보안 모델이 단순히 이론적 개념에 그치지 않고, 기업들이 구체적인 행동 계획을 수립하고 실행할 수 있도록 설계했다고 밝혔다.

류제명 과기정통부 네트워크정책실장은 "사이버 공격이 날로 고도화되고, 디지털 기술이 빠르게 확산되면서 기업의 보안 체계 전환이 시급해졌다"며, "이번 가이드라인이 각 산업 분야에서 실질적인 참고자료로 활용되길 바란다"고 말했다. 또한, 과기정통부는 앞으로도 국내 기업들의 제로트러스트 도입과 확산을 적극 지원하겠다고 덧붙였다.

제로트러스트 가이드라인 2.0은 과기정통부, KISA, 한국정보보호산업협회(KISIA) 홈페이지에서 무료로 다운로드 받을 수 있다. 기업들은 이를 활용해 현재 보안 수준을 진단하고, 체계적인 도입 및 운영 계획을 수립할 수 있을 것으로 보인다.

이번 가이드라인 발표로 국내 보안 업계는 새로운 전환점을 맞을 것으로 기대된다. 기업의 보안 체계를 철저히 진단하고, 제로트러스트의 개념을 실제 환경에 적용할 수 있는 구체적인 방향성을 제시한 만큼, 각 산업의 보안 역량 강화에 큰 기여를 할 전망이다.

이번 가이드라인 2.0은 데일리시큐 자료실에서도 다운로드 가능하다.