“제로트러스트 아키텍처를 왜 도입해야 하는가에 대한 본질적인 질문부터 시작해야 합니다.”
이석준 가천대 교수는 28일 ‘국가망보안체계 콘퍼런스’에서 ‘제로트러스트 가이드라인 2.0 기반 보안 아키텍처 수립 전략’을 주제로 발표했다.
이 교수는 “제로트러스트가 무엇인지 명확히 이해하지 못 하는 경우가 많다”며 “제로트러스트와 관련 용어의 개념을 잘못 이해하면, 이해 관계자 간 의견 불일치나 의견 수준에 괴리가 발생해 제로트러스트 아키텍처 도입에 걸림돌이 된다”고 강조했다.
그는 이어 “제로트러스트는 보안에 관한 ‘철학’과 ‘방향성’을 의미한다”며 “즉 ‘망분리’와 같은 특정 기술 하나만으로 결정되는 것이 아니라, 도덕과 같은 행동 지침”이라고 설명했다.
이 교수는 지난해 12월 배포된 제로트러스트 가이드라인 2.0을 기반으로 제로트러스트 도입 준비 과정을 소개했다.
그는 “제로트러스트 가이드라인 2.0은 이전 버전에 비해 제로트러스트 아키텍처 도입 과정 고려사항 및 도입 준비 단계 등을 구체화하고, 실증 사례를 제시해 기업의 제로트러스트 도입 어려움을 해소한다”고 설명했다.
가이드라인은 제로트러스트 아키텍처 구성 방안으로 △현재 기업망 보호 대상 파악 △현재 보안 아키텍처 분석 △현재 보안 아키텍처 분석 결과와 제로트러스트 세부역량 연계 △제로트러스트 아키텍처 목표 모델 설계 및 구현 로드맵 수립 등을 제시한다.
이 교수는 “이뿐만 아니라 산업·기업 특성 반영한 제로트러스트 아키텍처·도입 전략·로드맵 등 도입 방안 구체화하는 것이 중요하다”고 강조했다.
현대인 기자 modernman@etnews.com
