“국가망보안체계는 공공 위험관리 프레임워크…제로 트러스트와 굿파트너”

“국가망보안체계(N2SF)는 좁은 의미로는 보안성 검토를 받기 위한 방법론이지만 넓은 의미에선 위험관리 체계를 도입한 것입니다.”

이철호 엔키화이트햇 연구소장은 30일 서울 서초구 AT센터에서 열린 '제1회 제로 트러스트 워크숍'에서 “N2SF는 (공공 분야의) 한국형 위험관리 프레임워크이며, 제로 트러스트(Zero Trust)와 굿파트너”라며 이같이 말했다.

국가정보원이 주도하고 있는 N2SF는 클라우드·인공지능(AI) 등 정보기술(IT) 신기술을 공공에 도입하기 위해 정보시스템 중요도에 따라 보안 정책을 차등 적용하는 새로운 보안 체계다. 국정원은 N2SF 이해도를 높이기 위한 가이드라인 1.0을 지난 9월 발표한 바 있다.

가이드라인 집필에 참여한 이 소장은 N2SF를 공공 분야 위험관리로 정의했다. 위험관리는 자산에 대한 위협 식별 평가 우선순위화하고 발생 가능성이나 발생 시 영향을 최소화하기 위해 관리하는 일련의 과정을 말한다.

이 소장은 N2SF 절차와 ZT 도입절차 간 매핑도 제시했다.

우선 제로 트러스트 도입 시 준비단계에서 '위험도, 업무 중요도, 예산 등을 중심으로 갭(Gap) 분석'을 수행하는 것이 N2SF 도입에서 '위협식별' 과정과 맞닿아 있다. 위협식별은 정보서비스 구성환경을 모델링하고 위협을 식별하는 단계다.

또 제로 트러스트 '계획' 단계와 N2SF의 '보안대책 수립' 단계가, 제로 트러스트의 '구현', '운영' 단계가 국가정보보안기본지침의 '구현', '운영'과 일치한다.

실제 N2SF 가이드라인 1.0을 살펴봐도, '제로 트러스트 원칙이나 기관 고유의 임무 특성을 고려해 통제를 재해석하거나 세분화할 수 있는 여지를 제공한다', '제로 트러스트의 철학을 포용한다', 'N2SF 6개 대항목 분류는 제로 트러스트의 핵심 구성요소인 필러(Pillar·기둥)와 직접적으로 대응된다', 제로 트러스트의 성숙도 모델은 N2SF의 보안통제 항목 적용 절차와 연계할 수 있다' 등을 명시하고 있다. N2SF와 제로 트러스트는 뗄레야 뗄 수 없는 관계인 것이다.

이 소장은 “N2SF 보안 통제항목별로 제로 트러스트 성숙도 모델을 매핑해 현장에서 적용이 가능하다”고 말했다.

이봉준 SK쉴더스 수석은 성공적인 제로 트러스트를 구현 방법에 대해 소개했다.

제로 트러스트 구현에는 △사용자 △디바이스 △네트워크 △시스템 △애플리케이션 △데이터 △가시성과 분석 △자동화와 통합 등 8개 필러가 존재한다. 이 가운데 현재 기업은 사용자 인증, 접근통제 보안, 데이터 보안, 제로 트러스트 기반 위협 대응 순으로 구축하고 있다.

SK쉴더스는 디바이스 자체에 엔드포인트 탐지·대응(EDR), 통합엔드포인트관리(UEM) 등 보안 솔루션을 통해 접근통제 보안을 지원하고 있다. 또 위협대응을 위해선 AI 기술이 필수적이라고 보고 있다. AI 기술 없이는 수많은 데이터를 한 번에 탐지하고 대응할 수 없어서다.

이봉준 수석은 “제로 트러스트 전환이 쉽지만은 않지만 실질적으로 일어나고 있다”며 “1금융권과 통신사 등 대기업을 중심으로 점진적이지만 확실하게 제로 트러스트 구축이 진행되고 있다”고 말했다.

한편, 이번 행사는 한국정보보학회가 주최했으며, 제로트러스트연구회와 한국정보보호산업협회(KISA) 산하 한국제로트러스트위원회(KOZETA)가 공동 주관했다.

조재학 기자 2jh@etnews.com