∙ 2023년 7월 9일, 과학기술정보통신부(이하 과기정통부)는 제로트러스트(Zero Trust) 보안¹⁾의 개념·원리 ·핵심원칙 등을 설명하는 ‘제로트러스트 가이드라인 1.0’을 발표함

- (개요) 2023년 4월, 과기정통부는 ‘디지털플랫폼정부 실현계획’을 발표하면서 새로운 디지털 환경에서의 정보보안을 위하여 국가적 차원의 제로트러스트 도입을 추진하겠다고 밝힌 바 ‘제로트러스트 가이드라인 1.0’을 각 분야로 확산시키고자 함
  ∙ 동 가이드라인은 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어 원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시하고 있음

- (주요내용) 동 가이드라인의 주요내용은 다음과 같음
  ∙ (핵심원칙) 제로트러스트 보안은 기본개념을 구현하기 위한 ① 다중인증 등 지속적인 인증을 포함하는 강화된 인증, ② 서버·컴퓨팅 서비스 등을 중심으로 작은 단위로 분리하는 마이크로 세그멘테이션, ③ 소프트웨어를 기반으로 보호 대상을 분리·보호할 수 있는 소프트웨어 정의의 경계를 의미함
  ∙ (접근제어 원리) 안전하고 지속적인 접근제어를 위해서 제로트러스트 보안모델은 ‘제어영역’과 ‘데이터 영역’으로 구분되어야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야함
  ∙ (핵심요소의 식별과 관리) 제로트러스트 도입을 검토하고 있는 기관 및 기업의 관계자 등을 위해 식별자·신원, 기기, 네트워크, 시스템, 응용·네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의하여 실질적인 정보를 제공할 수 있도록 함
  ∙ (도입 참조모델) 재택·원격지 근무 환경에 제로트러스트 보안모델을 활용한 네트워크에 침투 시나리오를 적용하여 제로트러스트 도입 시 보안성이 강화될 수 있음을 파악할 수 있도록 함

- (관련내용) 동 가이드라인은 7월 10일부터 과기정통부, 한국인터넷진흥원(KISA) 및 유관기관 홈페이지를 통해 이용할 수 있으며, 향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려하여 ‘제로트러스트 가이드라인 2.0’을 준비하는 등 지속적으로 보완·고도화해 나갈 계획임


1) 제로트러스트(Zero Trust)는 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, “절대 믿지 말고, 계속 검증하라 (Never Trust, Always Verify)”는 새로운 보안개념을 의미함.