국회입조처 『제로트러스트, 새로운 보안 패러다임으로의 전환』 발간
정부, 지난해 7월 '제로트러스트 가이드라인 1.0' 발표하는 등 제도 도입 추진

공공·민간에서 제로트러스트 적극 도입하도록 법률에 명확한 근거 마련해야
행정·공적영역과 주요정보통신기반시설에 도입 의무화하고 민간에는 인센티브

정보보호 인증 수수료 감면, 공시제도 가점 부여, 중소기업 컨설팅 제공 등 제시

 

 

정부가 사이버공격에 대응하기 위한 '제로트러스트(Zero-Trust)' 도입을 원활히 추진하기 위해서는 법적 기반을 마련해야 한다는 제언이 나왔다.

 

국회입법조사처(처장 박상철)는 2일(화) 『이슈와 논점: 제로트러스트(Zero Trust), 새로운 보안 패러다임으로의 전환』 보고서에서 "기존 보안 모델은 한계에 도달했고 새로운 보안 패러다임인 제로트러스트가 주목받고 있다"며 이같이 밝혔다.

 

제로트러스트는 '절대 신뢰하지 말고, 항상 검증하라'는 것을 전제로 모든 사용자 접근에 철저한 검증을 하는 보안체계를 말한다. 최근 클라우드(인터넷 기반 자원공유)를 활용한 재택·원격 근무환경이 조성되고 사이버공격이 지능화·고도화되고 있다. 이에 따라 네트워크 내·외부 경계를 구분하고 내부자에게 암묵적 신뢰를 부여하는 기존 경계 기반 보안모델이 한계에 도달한 상황이다.

 

주무부처인 과학기술정보통신부는 지난해 7월 '제로트러스트 가이드라인 1.0'에서 ▲제로트러스트의 기본개념·보안원리 ▲제로트러스트 보안모델의 핵심원칙·접근제어원리 ▲제로트러스트 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 발표했다. 같은 해 12월에는 국내 기업망 환경에 적용할 수 있는 '제로트러스트 기본모델 2종'을 제시했다.

 

제로트러스트 도입·확산을 위해서는 공공과 민간이 제도를 적극 수용할 수 있도록 법적 기반이 뒤따라야 한다고 보고서는 제언했다. 구체적으로 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」이나 「정보통신기반 보호법」을 개정해 행정·공적 영역, 주요정보통신기반시설 등에 제로트러스트 도입을 의무화하고, 그 외의 영역에서는 제로트러스트 인증제도를 도입해 사업자 등에게 인센티브를 제공하는 방안을 제시했다.

 

제로트러스트 활성화를 위한 걸림돌 중 하나로 기업의 인식 부족이 손꼽힌다. 한국정보보호산업협회가 실시한 '국내 제로트러스트 관련 산업 실태조사'에 따르면 정보보호 솔루션 수요기업의 62.5%가 '제로트러스트라는 용어를 모른다'고 응답했으며, 31.0%의 기업이 '용어는 들어봤으나 자세히 알지는 못한다'고 응답했다. 적극적인 제로트러스트 홍보와 인식 제고가 필요하다는 설명이다.

 

이 밖에도 기업이 제로트러스트 시스템을 구축·유지하기 위해 상당한 시간과 투자가 필요하다는 점을 고려해 ▲제로트러스트 도입 기업에 정보보호 및 개인정보보호 관리체계 인증 수수료를 감면하는 방안 ▲정보보호 공시제도에 제로트러스트 관련 사항을 포함해 가점 등의 혜택을 부여하는 방안 ▲중소기업 등 보안투자 여건이 열악한 기업에 컨설팅 지원 사업을 추진하는 방안을 제시했다.

 

보고서는 국회입법조사처 '연구 보고서' 코너(http://www.nars.go.kr/report/view.do?cmsCode=CM0043&brdSeq=44435)에서 확인할 수 있다.

 

'생생한 국회소식' 국회뉴스ON
정유림 기자 rim12@assembly.go.kr