“새로운 보안 패러다임 마련”..제로트러스트‧공급망 보안 포럼

[파이낸셜뉴스] 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 26일 ‘제로트러스트·공급망 보안 포럼 발족식’을 개최했다고 밝혔다.

제로트러스트는 ‘아무것도 신뢰하지 않는다’는 것을 전제로 한 사이버보안 모델이다. 사용자나 기기 접근을 철저히 검증하고 검증 이후에도 최소한의 권한만 부여한다.

공급망 보안은 소프트웨어(SW) 제품의 개발부터 운영·유지보수까지 SW공급 전 단계에 투입되는 자원 및 프로세스에 대한 취약점을 점검하고 보안 관리하는 형태다.

이날 행사는 새로운 보안체계로 주목받고 있는 제로트러스트와 공급망 보안이 국내 정보보호 환경에 도입될 수 있도록 논의하기 위해 마련됐다.

특히 사회 전반에 디지털 대전환이 빠르게 이뤄지고 클라우드와 사물인터넷(IoT) 기기 급증으로 네트워크가 확장되는 상황에서 내부 직원 계정과 권한을 탈취한 해커를 정상 이용자로 신뢰하여 내부자료 유출 등 피해를 입는 사례가 증가하고 있다. 이러한 문제를 해결하기 위해 모든 대상에 대한 잠재적 위협을 미리 식별, 새로운 접근에 대해서는 거듭 확인하여 적절한 권한을 부여하는 제로트러스트가 주목받고 있다.

미국 바이든 정부도 국가 사이버보안 개선에 대한 행정 명령을 발표하면서 제로트러스트 아키텍처를 연방정부에서 구현하도록 요구했다.

또 미연방기관에 SW내장 제품을 납품할 경우 SW 구성요소 식별을 위한 명세서(SBOM) 제출을 의무화 하는 등 공급망 보안 강화에도 집중하고 있다.

과기정통부와 KISA 역시 올해 초부터 ‘사이버보안 패러다임 전환 연구반’을 구성해 미국, 영국 등 사이버보안 선진 사례를 분석해 우리나라 산업 맞춤형 보안모델과 가이드라인 마련 필요성을 제시한 바 있다. 이를 구체화 하고 보안 패러다임 변화에 능동적으로 대응하기 위해 제로트러스트·공급망 보안 포럼을 발족했다는 설명이다.

향후 제로트러스트·공급망 보안 포럼은 운영위원회, 제로트러스트 분과 2개, 공급망 보안분과 2개로 구성된다. 각 분과별로 정책·제도, 기술·표준과 산업 등의 관점에서 보안 관련 현안을 정책과제로 정해 관련 기술개발 연구, 실증사업을 통해 검증을 진행하고 최종적으로는 국가 표준화를 목표로 추진할 계획이다.

과기정통부 박윤규 제2차관은 “디지털로 전환되면서 기존 네트워크 경계 중심 보안은 한계가 다가오고 있으며 고도화되는 사이버 공격에 대응할 수 있는 전략과 전술이 필요한 시점”이라며 “앞으로 제로트러스트와 공급망 보안을 기반으로 민간·공공, 제조·금융, 통신 등에 체계적으로 적용, 관련 기술과 솔루션 개발, 지원방안을 마련할 계획이다”라고 밝혔다.

elikim@fnnews.com 김미희 기자