서울시는 올해 하반기부터 제로 트러스트 기반 원격근무 시스템을 도입해 사용자와 기기 등 다단계 인증을 강화할 계획이라고 밝혔다.
기존에는 재택근무시 원격근무시스템(SVPN) 접속 후 아이디(ID)와 비밀번호를 입력하는 사용자 인증 및 추가 인증을 거쳐 내부망이나 행정 시스템에 접속했다.
제로 트러스트 기반 원격 근무시스템을 도입하면, 일회용 비밀번호(OTP) 등을 이용해 기기와 사용자 등 다단계 인증 후에 내부 행정 시스템에 선별적으로 접속할 수 있다. 생체인증(FIDO) 등 다양한 인증 방식을 추가 검토하고 있다.
서울시는 올해 하반기부터 1단계 사업으로 재택근무나 출장 근무시 이용하는 원격근무 시스템에 제로 트러스트를 시범 도입할 예정이다. 내년에는 2단계 사업으로 본청, 내후년에는 3단계 사업으로 서울시 사업소와 투자출연기관, 자치구 등을 대상으로 제로 트러스트를 확산해나갈 계획이다.
제로 트러스트는 ‘절대 믿지 말고, 계속 검증하라’는 원칙을 바탕으로 신뢰성이 보장되지 않은 네트워크 환경을 가정해 다양한 컴퓨팅 자원에 대한 지속 접근 요구에 최소한 권한을 부여, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 게 핵심이다.
디지털 전환의 가속화로 최근 행정 업무 시스템도 클라우드화되고 PC·노트북·태블릿·스마트폰 등의 기기로 시스템에 접속하는 일이 늘고 있다. 이에 따라 아이디나 비밀번호 탈취를 노리는 악성코드 등 사이버 공격 시도도 급증하고 다양화, 지능화되고 있다.
미국은 일찌감치 제로 트러스트 아키텍처를 기반으로 국가 사이버 보안 현대화를 추구하고 있다. 우리나라 정부도 ‘K-제로 트러스트 모델’을 발표하며 사이버 위협에 대응하고 있다. 서울시가 공공 차원에서 선도적으로 차세대 보안 패러다임을 적용하면서 이러한 활성화 움직임에 물꼬가 트인 것이다.
서울시는 인공지능(AI) 등 신기술의 발달로 증가하는 사이버 위협에 선제 대응한다는 방침이다.
서울시 관계자는 “제로 트러스트 도입을 통해 내부 정보보안을 강화하고 대시민 행정서비스 신뢰성과 안전성을 높이는 것이 목표”라며 “사이버 보안 대응력을 높이기 위한 관·학·연 협력체계 마련도 검토하고 있다”고 말했다.
김명희 기자 noprint@etnews.com