보안

[CSK 2024] 제로트러스트 확산 마중물?… "다중보안체계(MLS)에 응용될 것"

김보민 기자
염흥열 순천향대학교 명예교수가 12일 서울 강남구에서 열린 '사이버서밋코리아(CSK) 2024' 제로트러스트 세션에서 최근 기술과 정책 동향을 소개하고 있다.
염흥열 순천향대학교 명예교수가 12일 서울 강남구에서 열린 '사이버서밋코리아(CSK) 2024' 제로트러스트 세션에서 최근 기술과 정책 동향을 소개하고 있다.

[디지털데일리 김보민기자] 국가 망분리 개선안의 핵심인 '다중보안체계(MLS)'가 베일을 벗으면서, 제로트러스트 도입에 대한 기대감이 커지기 시작했다. 업무 중요도에 따라 데이터 등급을 매겨 보안을 관리하는 정책 방향이 곧 제로트러스트 방법론과 맥을 같이 하기 때문이다.

염흥열 순천향대 명예교수는 12일 서울 강남구 코엑스에서 열린 '사이버서밋코리아(Cyber Summit Korea) 2024' 발표를 통해 "MLS에서도 제로트러스트 요소들이 반드시 구현되고 응용될 것이라고 생각한다"고 밝혔다.

전날 국가정보원(이하 국정원)은 CSK 행사를 계기로 MLS 추진안을 공식 발표했다. 국가 전산망의 업무정보 중요도에 따라 ▲기밀(C) ▲민감(S) ▲공개(O) 등급을 매겨 차등적 보안통제를 적용하는 것이 골자다. C·S 등급의 경우 비공개 정보를 다루기 때문에 높은 수준의 보안통제가, O는 공개 정보를 다루는 만큼 민감도가 낮은 수준의 보안이 적용된다.

중요도에 따라 업무와 데이터 영역을 나누는 것은 제로트러스트 방법론과 궤를 같이 한다. 제로트러스트는 '누구도 믿지 말고 경계하라'는 인식을 바탕으로 한 방법론으로, 외부뿐만 아니라 내부에서도 보안 위협이 발생할 수 있다는 전제를 갖추고 있다. 중요 구간에 보안 시스템과 대책을 운용하는 것이 핵심이다.

한국은 지난해 과학기술정보통신부(이하 과기정통부) 필두로 제로트러스트 가이드라인 1.0을 공개해 개념 정의를 내린 바 있다. 제로트러스트를 구현할 필수 요소로는 ▲인증체계 강화 ▲초세분화(마이크로세그멘테이션) ▲소프트웨어 정의 경계 등 세 가지가 꼽혔는데, 모두 MLS 환경에 기본적으로 필요한 보안 태세다.

염 교수는 "현재 통신망은 경계 기반으로 구분돼 있고, 내부망과 외부망을 나눠 운영되는 방식"이라며 "그러나 코로나19를 계기로 원격 근무가 일상화됐고, 망 바깥에 존재하는 클라우드 서비스가 발전하면서 보안 취약점이 빈번하게 일어나고 있다"고 말했다.

이어 "가장 중요한 핵심 요소는 권한을 최소화하는 것"이라며 "또한 지금까지는 사용자 위주로 인증을 수행했지만, 넓혀 기기(디바이스) 인증 자체도 검토해야 하는 상황"이라고 부연했다. 네트워크를 여러 개로 구성해 사이버 위협이 확산되지 않도록 하는 다중요소인증(MFA) 등도 제로트러스트 적용 방법으로 떠오르고 있다고 덧붙였다.

이러한 제로트러스트 전략은 MLS 등급을 분류하는 데 유용할 전망이다. 전날 국정원이 공개한 MLS 적용 절차에 따르면, C·S·O 등급을 분류하는 과정에는 이를 평가하고 보안대책을 수립하는 단계를 필수로 거쳐야 한다. 추후에는 세부 보안통제에 대한 개별 항목이 나올 예정이다. 이 항목은 미국 리스크관리프레임워크(RMF) 등을 참고하는 방식으로 구성되는데, 여기에 제로트러스트 요소가 포함될 것으로 보는 시각도 있다.

민간에서도 공감대를 표하는 분위기다. 이날 염 교수에 이어 발표를 진행한 신종회 한국마이크로소프트(MS) 최고보안책임자(CSO)는 "제로트러스트 개념으로 봤을 때 사용자 디바이스의 아이덴티티와 엔드포인트를 확인해, 내부 마이크로세그멘테이션된 C·S·O 등급별로 보안 정책을 적용해 접근하는 것이 가능하다"고 설명했다.

한편 정부는 연내 제로트러스트 도입 방법론을 담은 두 번째 가이드라인을 공개할 예정이다. 공개 시점은 당초보다 늦어진 10월 말로 예상된다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널