정부·공공기관 부문이 새롭게 추가되며 총 4개 컨소시엄을 선정해 제로 트러스트 실증을 진행한다. 정부가 국내 제로 트러스트 보안 모델 도입 확산에 방점을 찍은 만큼 컨소시엄 내 수요기관의 도입 의지가 주요 선정 기준이 될 것으로 보인다.
2일 과학기술정보통신부와 정보보호업계 등에 따르면, 과기정통부는 올해 제로 트러스트 보안 모델 실증 지원사업을 조만간 발표한다.
차세대 보안 패러다임인 제로 트러스트는 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’는 핵심 철학을 바탕으로 한 보안 체계다. 사용자(단말기)가 내부 접속 권한을 획득하면 내부망 어디든 휘젓고 다닐 수 있는 기존 경계형 보안을 보완하는 개념이다.
과기정통부는 다소 철학적인 제로 트러스트 보안 이해도를 높이고 국내에 안착하기 위해 지난해 처음 실증 사업을 실시했다. SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄이 실증을 벌였으며, 제로 트러스트 보안 모델 적용 후 보안성이 41% 높아지는 등 도입 필요성을 입증했다.
올해 실증 사업 규모는 지난해와 비교해 4배 커졌다. 지난해 2개 컨소시엄에 각각 5억원, 총 10억원을 지원한 데 반해 올핸 4개 컨소시엄에 각각 10억원 총 40억원을 투입한다. 특히 지난해와 달리 정부·공공부문을 신설한 게 눈에 띈다.
4개 컨소시엄 중 1개 컨소시엄은 공공기관이 수요기관으로 참여하는 컨소시엄을 선정할 예정이다. 정부 부처·공공기관에 제로 트러스트 보안을 실증하려는 국가정보원과 디지털플랫폼정부위원회 등 수요를 반영한 결과다.
아울러 실증 사업 컨소시엄 선정에 있어 수요기관 역할이 커질 전망이다. 지난해엔 사이버 보안 솔루션 공급기업의 기술력을 중심으로 평가했다면 올해는 수요기업의 도입 의지가 주요 평가 항목에 올랐다. 연차별 제로 트러스트 보안 투자 계획 등을 통해 수요기관의 도입 의지를 평가한다는 방침이다.
수요기관이 올해 실증 사업만으로 제로 트러스트 성숙도 모델의 ‘최적화(Optimal)’ 단계를 달성할 수 없는 데다 국내 제로 트러스트 도입 확산이라는 사업 취지를 살리기 위해서다. 지난해 실증 사업이 기업·기업에 실제로 구현해 본 수준이었다면, 올해는 ‘도입 지원’에 방점을 찍어 수요기관이 제로 트러스트 보안을 유지·향상시키도록 유인하겠다는 게 과기정통부 측의 설명이다.
제로 트러스트 가이드라인 2.0 준비 작업도 착수했다. 클라우드 네이티브 등 다양한 환경을 고려한 제로 트러스트 도입 참조 모델, 도입 검증 방안 등을 담아 기업·기관이 제로 트러스트 보안 도입에 용이하도록 안내하겠다는 계획이다. 또 해외 진출을 위해 국내·외 제로 트러스트 표준화와 특허 동향 분석도 함께 포함된다.