[GISC 2024] 디지털 전환 시대의 보안 패러다임: 제로트러스트 표준화와 구현전략 🌐TTA, … — Transcript

안녕하세요. 반갑습니다. 저는 순천향대학교 엄홍열 교수입니다.

오늘 주제가 이 제로트러스트 표준화 구현 전략입니다.

아시다시피 그 2021년인가요? 그 미국 바이든 행정부가 이 사이버 보안 강화 전략을 발표하면서 모든 미국의 공공 이 연방 정부의 네트워크는 제로트러스트 기반으로 전환하라라는 그 명 그 명령을 내린 바 있습니다.

그래서 그 이후에 굉장히 많은 이 연방 정부 차원의 활동들이 표준화 활동을 포함해서 많은 활동들이 이루어지고 있었습니다.

그래서 지금 오늘 이 발표 주제는 그러한 정책적인 사항이랄지 아니면 표준화 동향이랄지 그리고 우리나라가 어떻게 이 제로트러스트 표준화 국내외 표준화를 추진해야 될지 그런 방향에 대해서 이 한번 같이 논의를 해 보도록 하겠습니다.

그 목차는 뭐 그 제로트러스트 주요국의 국제 표준화 동향, 정책 동향, 뭐 스터디 그룹 17의 추진 성과 및 쟁점 사항, 그리고 제로트러스트 특허 분석, 국제 표준화 추진 체계, 그리고 ITU-T SG17 향후 추진 계획, 그리고 의의 및 시사점을 중심으로 해서 말씀드리도록 하겠습니다.

제로트러스트는 기본적으로 이 디지털 전환의 가속화로 인해서

이 모든 이 다양한 이 전환이 모든 다양한 영역으로 확대되고 있습니다. 그렇지만 이 뭐 다양한 이 디바이스의 증가로써 이 인증이랄지 권한 관리의 복잡한 사이버 관리 보안 관리가 필요합니다.

그리고 이 대부분의 이 그 보안 사고들이 암묵적인 신뢰를 둠으로써 이 발생하는 경향이 있습니다.

예를 들어서 내부 네트워크의 이 접근을 외부 네트워크의 이 접근보다 좀 더 이 완화된 보안 통제를 이렇게 적용하는 그런 경우입니다.

그래서 이 대표적으로 뭐 아까 얘기했다시피 여러 가지 이 경계 보안 현재는 경계 보안 그러니까는 네트워크를 딱 구분을 하고 그리고 내부 네트워크는 이 안전하다고 이렇게 가정하고 외부 네트워크의 공격자가 존재한다라고 이렇게 하고 있지만 그 사이버 이 제로트러스트에서는 내부 네트워크도 이미 이 다른 이 공격자에 의해서 이 점령돼 있다라고 이렇게 가정하고 모든 이 절차나 이 과정들을 철두철미하게 검증한 후에 이 뭐 이 서비스를 제공하라 아니면은 뭐 이 그 액세스를 허용하라라는 그런 원칙이 기본적인 부분입니다.

뭐 이 기본적으로 현재 나타나고 있는 이 경계 기반 네트워크의 하나의 예입니다. 이 보통 보면 인터넷이라는 부분이 있고 그다음에 내부 네트워크하고 이 외부 네트워크를 중간 사이에 DMZ라는 이 그 영역이 있습니다.

그리고 이제 그 내부 네트워크들도 뭐 완전히 망 분리가 돼 있는 거의 망 분리가 되다시피 하는 이 프리빌리지 네트워크이 있고 그다음에 운영 네트워크로써 트러스트 네트워크이 있습니다. 그래서 현재의 대부분의 네트워크 보안 이 체계는 이 뭐 경계 기반 보호로써 이렇게 될 수 있고

됐다고 이렇게 이 기반 두 기반을 두고 이 DMZ 영역에서 이 뭐 보안 게이트웨이를 두고 그다음에 외부 네트워크에서 이렇게 침투하는 공격자를 막는 그런 이 이 활동에 중점을 두고 이렇게 이 네트워크 보안 체계가 구성되고 있습니다. 그런데 이 최근 2020년도에 코로나 이 팬데믹이 발생하면서 이 내부 네트워크하고 외부 네트워크 간의 경계가 불분명하게 됐습니다.

그래서 이 외부 네트워크에 실제로 클라우드가 이렇게 일반화되면서 사실은 이 아까 얘기했던 그런 경계가 이 내부 네트워크는 여기까지고 내부 네트워크는 여기까지고 그다음에 내부 네트워크는 아 우리가 이렇게 잘 관리하고 있으니까 이 뭐 이 내부 네트워크에서 들어오는 이 이 연결 요구랄지 이런 부분들은 좀 더 낮은 인증 이 방법을 사용하고 외부 VPN 같은 경우도 그렇게 지금 하고 있죠. 대부분은 외부 네트워크로 들어올 때는 반드시 뭐 투 팩터 인증 뭐 다중 인증을 적용하라라고 이렇게 하고 있습니다.

그래서 그렇지만 현재 내부 네트워크도 이미 이 이 공격자에 의해서 점령됐다고 이렇게 가정하면은 그러면 그런 암묵적 신뢰를 주면 안 된다는 그런 부분입니다. 그래서 이제 이런 부분들에 대해서 뭐 다양한 이 뭐 시엠이랄지 아니면 소화랄지 아니면 XDR 이런 보안 관제 체계를 통해서 이런 이 그 이 기반 이 경계 기반 모델의 한계를 극복해야 될 걸로 그렇게 보여집니다.

그래서 이게 이제 이 뭐 이 항상 믿지 말고 항상 검증하라. Never Never Trust Always Verify라는 그런 원칙에 따라서 이 이렇게 구성이 되고 있고 이걸 실현하기 위해서는 통상적으로 다섯 가지의 핵심 요소들을 반영해야 됩니다. 첫 번째가 이 어떤 접근이 이루어질 때는 최소 접근 권한으로 하라라는 부분들은 이 당연한 얘기고요.

그다음에 이 사용자 인증도 굉장히 중요하지만 디바이스 그 자체도 인증을 해야 된다라는 부분이고요. 그리고 이 싱글 팩터 인증을 근거로 하지 말고 여러 개 두 개 이상 또는 뭐 피싱 공격을 막기 위해서는 패스워드 리스 기반으로 이 다중 요소 인증을 적용하라라는 부분이고요. 그다음에 이게 마이크로 세그먼트라 그래서 네트워크를 이 세그먼트 단위로 이렇게 나눠서 그래서 이 그 이 네트워크를 크게 나눌 때는 그 뭐 수평 이동이라 그래서 그런 공격에 취약하지만 이렇게 잘게 나눠 놓으면 잘게 나눠 놓으면 그 수평 이동 내부 네트워크에 들어와서 이렇게 하는 부분에 대해서 공격을 막을 수 있다라는 마이크로 세그먼트 부분이 있고요.

그리고 항상 일단은 이 뭐 인증을 허용한 후에 접근이 된 후에도 반드시 그 이 이상 행위가 있는지를 살펴보는 그런 모니터링을 강화해야 된다는 그런 기본적인 이 요구 그 뭐 그 요소들이 반드시 반영돼야지만이 제로트러스트 아키텍처를 구현할 수 있다고 이렇게 보여집니다. 그러면 이런 제로트러스트 아키텍처를 하기 위해서 기본적으로 논리적 구성 요소가 리스트에서 800- 이 그 63에 해당하는 이 표준에 나와 있는 부분이고요. 그래서 통상적으로 이 이 그 데이터 영역 데이터의 흐름을 나타내는 이 데이터 평면이라는 데이터 플랜이 존재하고요.

그다음에 그 접근 접근을 허용할지 안 할지를 어 결정하는 컨트롤 평면으로 이렇게 나눠지고요. 그다음에 이 PDP라 그래서 폴로시 디시전 포인트는 이 접근 접근에 관련되는 모든 보안 포스처들랄지 아니면 디바이스의 상태랄지 아니면 사용자의 인증이랄지 아니면 과거 이력이라 할지 아니면 이런 것들을 전부 다 고려해서 이 이 그런 관련된 정보들을 수집할 필요성이 있습니다. 그거를 폴로시 인포메이션 포인트라 그래서 이 거기서 모든 정보를 수집을 해서요. 그래서 이제 각 접근에 대한 트러스트 스코어라 그래서 신뢰 점수를 계산합니다. 그래서 이 그 부분은 이제 새로운 이 그 논리에 의해서 이 어떤 환경에 따라서 이 신뢰 점수를 계산하고 그 신뢰 점수를 계산한 이 계산하는 역할을 PDP라 그래서 폴로시 디시전 포인트에서 그 신뢰 점수를 계산하고요.

그다음에 그 결과를 누구한테 넘겨주냐면 실제로 이 폴로시 인포스먼트 포인트에 넘겨줍니다. 그러면 거기서 이 폴로시 스코어에 근거해서 그래서 해당되는 이 이 이 접근이 이 오른쪽에 있는 자원을 접근하는 것을 허용할지 안 할지를 결정하는 이런 일반적인 이 참조 모델 구조를 가지고 있습니다. 현재 리스트의 1800-35는 아까 얘기했다시피 이 제로트러스트는 새로운 이런 보안 기술이 아니고 기존에 있는 보안 기술을 활용해서 좀 더 완성도 높게 이 사이버 공격 이 대응 태세를 갖추는 부분이라서 이 여러 가지 기존에 가지고 있는 여러 가지 이 뭐 이 시스코라 할지 마이크로소프트라 할지 아니면 옥타라 할지 이런 각각의 영역에서 이 그 자기 어떤 어떤 기업들은 이 인증에 관련되는 전문성을 가지고 있고 어떤 기업들은 시스코라는 기업들은 네트워크에 관련되는 기업들을 가지고 있어서 이런 것들을 전부 다 한번 모아 가지고 이렇게 테스트 베드를 현재 구성해서 이 결과를 이렇게 공개하고 있습니다. 이 결과는 어 지난 8월에 이렇게 이 다시 갱신된 부분으로 이렇게 나오겠습니다.

아까 얘기했다시피 이 제로트러스트 보안 정책의 시작은 2021년도에 5월에 이 미국 바이든 행정부가 이 행정 명령을 통해서 이 국가 사이버 보안 태세를 강화하자는 부분이고 거기에는 이 3절에 보면은 이 모든 연방 이 정부 이 정 정부의 이 사이버 보안을 현대화하자는 부분이고 거기에는 반드시 제로트러스트 아키텍처를 포함하라라는 부분입니다. 그리고 이 뭐 물론 이제 영국의 NCSC라는 이 그 이 외교부에 속해 있는 이 사이 네트워크 사이버 뭐 시큐리티 센터인데요.

여기서도 2023년도 12월에 이 제로트러스트 8대 원칙 그러니까 제로트러스트 구현을 할 때는 어떤 원칙을 적용하라라는 그런 부분들을 이렇게 이 발표를 했고요. 그리고 ITU-T 스터디 그룹 17은 이 지난 이 10월 중순경에 이 세계 표준 총회가 인도에서 있었습니다. 인디아의 뉴델리에서 있었는데요. 이 다음 연구회기 그러니까 2025년부터 2028년까지 이 여러 가지 신흥 기술 우리가 표준화해야 될 신흥 기술로써 제로트러스트 이 보안 기술들을 새로운 영역으로 이렇게 설정을 해서 앞으로 4년간 계속 국제 표준화를 추진하겠다라고 이렇게 발표를 했고요.

그다음에 아시겠지만 이 과기부하고 이 그 기사가 이 제로트러스트 가이드라인 1.0을 이 작년 7월 10일 그 정보보호나를 기술 기준으로 해서 발표를 했습니다. 그래서 이게 글로벌한 차원의 여러 가지 이 정책 동향이라고 이렇게 볼 수 있고요. 이게 굉장히 많은 이 그 문서들이 현재 개발되고 있습니다. 여기 세부적으로 이렇게 다 설명할 수는 없지만 이 시작은 언제부터였냐면 2021년도에 미국 이 바이든 행정부의 이 행정 명령에 의해서 나오고 그에 근거해서 여러 가지 문서들이 만들어지고 있습니다. 그래서 미국의 이 표준 어 과학 기술원 과학 기술원에서는 두 개의 문서 800-207하고 800-35라는 이 문서에 근거해서 미국 연방 정부의 제로트러스트 구성을 하고 있는 부분이고요.

그다음에 미국의 여러 가지 이 각각의 섹터에서 각각의 영역에 맞춰서 미국 키사 키사에서는 제로트러스트 모델을 성숙도 모델을 했고요. 우리 스터디 그룹 17에서는 이 아까 얘기했다시피 이 기술 보고서가 하나 있었습니다. 그 기술 보고서에 기반해서 새로운 이 신규 워크 아이템을 만들었고요. 그다음에 국방성 이 제로트러스트에 굉장히 열정 열정을 가지고 있습니다. 왜냐하면은 이 그 경계 기반을 그 적용할 수 없는 왜 그러냐면 미국에 미국 이 국방성은 이 세계 이 뭐 곳곳에 이렇게 파견 나와 있는 미국 군인들이 있는 거고 그래서 그거를 경계 기반으로 막기는 너무 힘드니까 이 제로트러스트 기반으로 여러 가지 이 뭐 이 그 이 전략에 대해서 제시하고 있고 그리고 마이그레이션을 굉장히 중요하게 간주하고 있습니다. 그래서 2027년까지 이 자기들이 국방성에 있는 모든 네트워크는 기존의 네트워크에서 이 제로트러스트 기반으로 성숙도가 굉장히 높은 높은 그런 이 이 네트워크으로 이 전환하겠다라고 이렇게 선언을 하고 있습니다.

아 이게 이제 그 저희가 이 저희 팀이 저희 팀이 지난 이 다음 연구회기를 위해서 이 표준화 주제를 이렇게 제안을 했었습니다. 2023년 3월에 이렇게 제안했고요. 그리고 그 부분은 이 스터디 그룹 17이 다음 연구 회기를 위해서 제로트러스트 부분을 이 이렇게 이 표준화하자는 부분을 합의한 하나의 문서라고 이렇게 볼 수 있습니다.

마찬가지로 어떤 일을 하기 위해서는 사전 준비가 좀 필요합니다. 그래서 제가 뭐 지난 8년 동안 스터디 그룹 17 의장으로서 이 이 워크숍을 ITU 워크숍을 굉장히 많이 이렇게 활용을 했습니다. 왜 그러냐면 이 이 새로운 이 주제를 이렇게 개입 이 도입하는 거에 대해서 이 전문가 ITU 이 스터디 그룹 17 참석자들이 저항이 좀 있습니다. 그래서 그 저항을 완화하기 위해서는 그 벽을 낮추기 위해서는 뭔가 이 워크숍을 통해서 이 부분이 굉장히 중요하다고 하는 부분을 이렇게 강조할 필요성이 있었습니다.

그래서 2023년 8월에 이제 한국에서 ITU-T 스터디 그룹 17 회의가 열렸고요. 그때 이제 뭐 워크숍을 제로트러스트하고 두 가지 요새 핫 타픽이 스터디 그룹 17에서 핫 타픽이 세 가지입니다. 제로트러스트하고 소프트웨어 공급망 보안하고 이 전 주제고요. 그다음에 마지막으로 이 AI 관련되는 이 보안입니다. 요 세 가지를 계속 이렇게 해서 스터디 그룹 17한테 이 이 뭐죠? 그 현재 이 새로운 이 표준화를 해라라는 부분에 대해서 테이크어웨이나 아니면 제안 사항으로 요청한 부분입니다.

어떤 이 표준화 과정을 수행하기 위해서는 굉장히 많은 국제 간의 협력이 필요합니다. 그래서 표준화는 한마디로 해서 국제 협력이라고 이렇게 볼 수밖에 없습니다. 그래서 이 신규 워크 아이템을 만들 때 여러 국가나 아니면 이해 당사자들 간의 협력이 필요하고요. 그다음에 공동으로 개발할 때도 그 과정에서도 이 국제 협력이 필요하고요. 최종적으로 ITU의 국제 표준은 한 국가가 반대하면 이 국가 이 표준이 채택이 안 됩니다. 만장일치에 가까운 그런 부분입니다.

그래서 모든 국가가 이 표준에 대해서 완성도가 인정해야지만이 그 표준화로 채택할 수 있는 부분입니다. 아까 얘기했다시피 이 스터디 그룹 17에서 여러 가지 활동을 통해서 했던 부분이고요. 그리고 이게 이제 ZTMC가 우리 한국에서 이렇게 제안했던 부분이고요. 2024년 2월에 신규 워크 아이템을 제안했고요. 그 뭐 그 전에 여러 가지 활동을 통해서 이 이 이 이 부분이 굉장히 중요하고 앞으로 이 통신망에서 나아갈 필요성이 있다라고 이렇게 합의한 부분이고요.

그리고 여러 가지 쟁점 사항이 있었습니다. 그 뭐 제로트러스트는 용어랄지 근데 여기서 합의했던 부분들은 이 그 뭐 통신망을 보면은 이 라우터하고 라우터가 있는데요. 라우터하고 서버 간에는 뭐 제로트러스트를 적용하다라고 이렇게 합의를 했지만 라우터하고 라우터 간의 제로트러스트를 도입하는 것은 라우터 간의 이 그 부담이 너무 이 취약할 수 있으니까 일단은 그 부분은 제외하다라고 합의해서 일단은 이 그 뭐 이 어떤 국제 표준 승인 프로세스랄지 아니면 스코프를 합의하는 그런 부분이라고 이렇게 볼 수 있습니다.

이게 이제 그 제로트러스트에 대한 이 신규 합의된 이 문서입니다. 통상적으로 새로운 워크 아이템을 제안할 때는 에이다돈 이 저스티피케이션을 만들고 있고요. 그래서 에이다돈 저스티피케이션에 근거해서 이 이런 이 뭐 이 어떤 국제 표준 승인 프로세스랄지 아니면 스코프를 합의하는 그런 부분이라고 이렇게 볼 수 있습니다.

특허 분석 굉장히 중요합니다. 왜 그러냐면 현재 이 뭐 각각의 필러에서 이 국제 이적으로 앞서가 있는 이 그 이 글로벌 기업들이랄지 아니면은 뭐 신규 이 스타트업들이 가지고 있는 이 표준들을 분석할 필요성이 있었습니다. 그래서 뭐 이 지난 4월부터 최근 10월까지 이 그 특허 개발원인가요?

이 특허 개발원에 협력 과기부하고 특허 개발에 키사하고 협력을 해서 현재 제로트러스트에 관련되는 표준들을 이 어떤 표준이 있고 앞으로 어떤 이 그 표준화들이 이루어지고 있고 그다음에 어떤 이 분야에서 이 우리 기업들이 표준화를 확보하면은 이 아 특허를 확보하면은 이 국제 표준화에 도움이 되겠다라는 그런 방향들을 결정 이 정하고 있습니다. 이게 뭐 이 제로트러스트 기술 표준화 비전입니다. 그래서 국제 표준을 통해서 국내 제로트러스트 제품의 글로벌 경쟁력을 확보할 필요성이 있고 그래서 앞으로 여러 가지 항목들을 분석하고 그다음에 이 공통 능력이라 할지 아니면 성숙도 프레임워크이랄지 이런 부분 섹터 스페시픽한 이 제로트러스트 모델들을 국제 표준화를 추진해서 이 우리 국내 산업의 경쟁력을 강화하는 그리고 글로벌 표준화를 리드하는 그런 부분으로 이렇게 가지고 있고 그리고 아까 얘기했다시피 그 새로 만들었던 ZTMC 프로그램에서는 앞으로 사물 인터넷을 위한 제로트러스트 보안 구조랄지 스마트 공장 또는 디지털 트윈 이런 6G 뭐 이런 기반 5G 6G라는 이런 부분에서 제로트러스트를 어떻게 도입할지 나는 부분은 있고요. 최근에 ITU의 스터디 그룹 20에서 사물 인터넷을 위한 제로트러스트 보안 구조는 스터디 그룹 20에서 중국이 아마 제안해서 현재 추진하고 있고 현재 6G랄지 5G를 이 제로트러스트 개념을 도입하기 위한 표준화 활동이 필요하다고 생각하고 있습니다. 마찬가지로 스마트 공장이라 할지 ES랄지 이런 부분들은 필요하고요. 그래서 이 이런 부분들이 굉장히 이 국제 간의 협력이라 할지 연기가 굉장히 중요합니다. 그래서 이 국제 간의 협력을 통해서 협력해야 된다는 부분이고요. 마치도 이 잠깐 정리하도록 하겠습니다. 그래서 우리나라는 이 ITU 최초 사사 최초로 이 제로트러스트 보안 공고 신규 워크 아이템을 채택한 부분이고요. 이런 부분들은 여러 가지 이해 당사자들 간 또 미국인 영국 등 주요 우방국 간의 협력을 통해서 이루어진 부분이고 앞으로는 6G 이에서 제로트러스트 보안을 어떻게 추가할지에 대한 이런 이 협력이 필요하다고 이렇게 보이고요. 그다음에 이 이런 것들을 하기 위해서는 국내 표준도 필요하고 국제 표준도 필요하고 그럼을 통해서 이 국 정보보호 제품의 이 글로벌 경쟁을 이 도모할 수 있고 그래서 한국 주도의 국제 표준화를 추진할 수 있다고 생각하고 있습니다. 그래서 이 이 부분에 대해서 앞으로 이 그 국내 산업체를 중심으로 해서 또는 이 뭐 협력을 통해서 앞으로 국내 표준이 필요하다고 생각하고 있습니다. 이상 발표를 마치도록 하겠습니다. 감사합니다.