본문 바로가기
나도 언론이다

정보 보안 " 제로트러스트 가이드라인 1.0" 가이드북 발표

by 윤행정사 2023. 7. 12.
반응형

과학기술정보통신부에서는 인터넷 정보 보안 분야에서 제로트러스트 개념에 입각하여 작년 10월 국내 산・학・연・관 전문가로 구성된 「제로트러스트포럼(간사기관 : 한국인터넷진흥원)」을 구성하엿고 이번에 미국, 유럽, 일본 등의 동향 분석, 자료검토, 토론회 등을 통해 의견을 모아 국내 환경에 적합한 「제로트러스트 가이드라인 1.0」 마련하였다고 밝혔다.

 

 

목차

     

    기존의 한계에 도전! '제로트러스트'란?

    제로트러스트(Zero Trust)는 정보 시스템에 접속할 때, 네트워크를 이미 침해된 것으로 간주하고 절대 믿지 말고 항상 검증하라는 새로운 보안 개념입니다.

     

    전통적인 네트워크 보안 모델에서는 내부자에게 암묵적인 신뢰를 부여하고 내・외부 경계를 구분해왔지만, 모바일・사물인터넷(IoT) 기기와 원격 근무 등으로 인해 비대면 환경이 증가함에 따라 새로운 보안 모델이 필요해진 것입니다.

    기존 모델의 한계와 제로트러스트의 해결책

    기존의 경계 기반 보안 모델은 침입자가 내부자와 공모하거나 권한을 탈취하여 시스템에 접속하면 추가 인증 없이 모든 보호 대상에 접근할 수 있어 데이터가 외부로 유출될 수 있는 위험이 있었습니다.

     

    이에 반해, 제로트러스트 보안 모델은 자원을 분리하여 보호하고 각각의 자원은 독립적으로 보안되며, 데이터 유출 등의 위험에 대비할 수 있습니다.

    사용자 또는 기기의 접속 요구에는 아이디/패스워드 외에도 다양한 인증 요소를 활용하여 보안 수준을 높일 수 있습니다.

    제로트러스트가 주는 안전성과 장점

    제로트러스트 보안 모델은 각각의 자원을 분리하고 보호함으로써 하나의 자원이 해킹되어도 인근 자원은 보호할 수 있는 안전성을 제공합니다.

    또한, 사용자 또는 기기의 접속 요구에 대해 다양한 인증 수단을 활용하므로 보안 수준을 향상시킬 수 있습니다. 이를 통해 인터넷 활동에 대한 안전성을 높이고 악의적인 공격으로부터 보호할 수 있습니다.

     

    새로운 보안 개념인 '제로트러스트'는 네트워크 환경이 변화하고 비대면 사회가 가속화되는 현대에 필요한 보안 모델입니다. 앞으로 우리는 '제로트러스트'를 통해 안전하고 신뢰할 수 있는 인터넷 활동을 할 수 있을 것입니다.

     

    ' 제로트러스트 가이드라인 1.0 '  주요 내용

    (핵심원칙)

    제로트러스트 보안은‘절대 믿지 말고, 계속 검증하라’는 기본철학을 구현

    ① 강화된 인증(아이디/패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함),

    ② 마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리),

    ③ 소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야함)를 말한다.

     

    (접근제어 원리)

    보호 대상 자원에 대한 접근 요구에 대해 접속을 허락할지 말지를 결정하는 과정으로 제로트러스트 기본철학을 구현하는 가장 중요한 원리 중 하나이다.

     

    안전하고 지속적인 접근제어를 위해서 제로트러스트 보안모델은 ‘제어영역’‘데이터 영역’으로 구분되어야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야 한다.

    < 제로트러스트 접근제어 논리 컴포넌트 구성도 >

    제로트러스트-비교
    출처: 과학기술정보통신부

    (핵심요소의 식별과 관리)

    제로트러스트 도입을 검토하고 있는 기관 및 기업의 관계자들은 네트워크, 컴퓨팅 자원 중 어떤 요소어느 정도 보안수준으로 설계를 해야 할지, 관련 예산계획 수립, 도입 기간 중 진행상황 점검 등을 위한 지표를 필요로 한다.

     

    이를 위해 식별자・신원, 기기, 네트워크, 시스템, 응용・네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의하여 실질적인 정보를 제공할 수 있도록 하였다.

     

    (도입 참조모델)

    정부·공공 기관 및 기업 관계자들은 실질적인 도입 전략 수립 시 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시하여 제로트러스트 도입 전후 네트워크 구조 변화 및 보안 효과성 등을 확인할 수 있다.

     

    가이드라인 다운로드

    제로트러스트 가이드라인 1.0 (요약본 또는 전체본) 내용 다운로드하러 가기

    제로트러스트
    출처: 과학기술정보통신부
    (별첨) 제로트러스트 가이드라인 1.0 요약본 및 전체본.zip
    13.80MB

    반응형

    댓글