클라우드컴퓨팅과 사물인터넷(IoT) 기기 급증으로 네트워크가 확장되는 상황에 글로벌 기업조차 내부 직원 계정 권한을 탈취한 해커를 정상 이용자로 보고 내부 자료 유출 등 피해를 입는 사례가 많아졌다. 네트워크에 연결되는 전자기기에 탑재된 소프트웨어(SW)도 개발, 운영, 유지보수 등 SW 공급 전 단계가 복잡해지고 구성요소가 많다는 점에서 이를 악용한 보안 위협 사례가 늘고 그만큼 위험성을 관리할 필요성이 커지고 있다. SW 공급망에서 전체 취약점을 점검하고 공급망 보안을 관리하기 위한 새 패러다임이 요구된다. 이에 네트워크에서 사용자와 기기 접근을 검증해 최소 권한만 부여하는 '제로트러스트' 원칙을 기반으로 국내 공급망 보안 강화 방안을 찾는 정보보호 전문가 포럼이 출범했다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 26일 오후 VOCO서울강남 호텔에서 '제로트러스트·공급망 보안 포럼 발족식'을 개최했다고 밝혔다. 제로트러스트는 아무 것도 신뢰하지 않는다는 전제로 운영되는 사이버보안 모델로 사용자와 기기 접근을 철저히 검증하고 검증된 대상에도 최소 권한만을 부여하는 개념이다. 이번 행사는 제로트러스트와 공급망 보안 개념을 국내 정보보호 환경에 도입하도록 논의하기 위한 정보보호 전문가와 산업계 관계자 등 60여명이 참석한 가운데 진행됐다.

미국 바이든 정부는 작년 5월 국가 사이버보안 개선에 대한 행정명령(EO14028)을 발표해 연방정부 차원에서 제로트러스트 아키텍처 구현을 요구하기 시작했다. 연방정부 기관에 SW탑재 제품을 판매할 때 SW 구성요소를 식별하기 위한 'SW자재명세서(SBOM)' 제출을 의무화하는 등 공급망 보안 강화에 집중하고 있다. 과기정통부와 KISA는 올해 초 '사이버보안 패러다임 전환 연구반'을 구성해 사이버보안 선진국 사례를 분석하고 국내 산업 맞춤형 보안 모델과 가이드라인을 마련할 필요성을 제시했고 이를 구체화해 보안 패러다임 변화에 대응하기 위해 이번 포럼을 발족했다.

박윤규 과기정통부 제2차관 축사와 이원태 KISA 원장 개회사 후 염흥열 순천향대학교 교수가 포럼 운영위원장으로서 발족 의의를 설명했다. 염 교수는 그간 논의된 제로트러스트 가이드라인(안)과 제로트러스트 모델을 적용한 국내 사례, 공급망 보안성을 강화하기 위한 정책 방향 등을 제시했다. 이어 패널 토론에 참여한 전문가들이 국내 산업 현장에서 제로트러스트와 공급망 보안이 실제 적용되기 위해 가이드라인 제시를 넘어 민간·공공 협력을 통해 다양한 사례를 발굴하고 검증해야 한다는 점, 국가 차원의 전략으로 이끌어 가면서 꾸준히 진화하도록 해야 한다는 점에 의견을 모았다.

앞으로 제로트러스트·공급망 보안 포럼은 운영위원회, 제로트러스트 분과 2개, 공급망 보안 분과 2개로 구성돼 운영된다. 각 분과별 정책·제도, 기술·표준, 산업 등 관점에서 보안 관련 현안을 정책과제로 논의한다. 관련 기술개발 연구, 실증사업 등을 통해 검증을 추진하고 국가 표준화하는 것을 목표로 운영된다.

박윤규 차관은 "우리 생활이 디지털로 전환되면서 기존 네트워크 경계 중심의 보안은 한계가 다가오고 있으며, 고도화되는 사이버 공격에 대응할 수 있는 전략과 전술이 필요한 시점"이라며 "앞으로 제로트러스트와 공급망 보안을 기반으로 민간·공공, 제조·금융, 통신 등에 체계적으로 적용, 관련 기술과 솔루션 개발, 지원방안을 마련할 계획이며, 새로운 보안 패러다임이 디지털 질서의 기준이 될 수 있도록 노력하겠다"고 말했다.