본 가이드라인은 공공데이터의 활용을 촉진함과 동시에 보안성을 확보하기 위한 국가 망 보안체계(National Network Security Framework,이하 N2SF)의 추진배경, 개념, 기본원칙, 적용절차 등을 설명한다. 국가 망 보안체계(N2SF)는 각급기관의 업무를 식별하고 중요도별로 등급을 구분한 후, 해당 등급에 맞추어 보안대책을 차등 적용하는 사이버보안 프레임워크이다. 각급기관은 본 가이드라인에 따라 자율적으로 위협을 식별한 후, 그에 대한 보안대책을 수립하여 보안통제를 선정하고 구현운영할 수 있다. 이를 위해 국가 망 보안체계에 적합한 보안통제 목록과 C/S/O 보안 등급별 기준선(Baseline)을 제공한다. 또한, 국가공공기관에서 구축운영되는 주요 정보서비스 모델에 대해 산학연관 전문가들이 국내외 위협식별, 위험평가, 관련 규정지침 분석 등의 과정을 거쳐 수립한 보안통제 항목을 함께 제공한다
최근 급변하는 디지털 전환기에서 AI의 진화, 클라우드 서비스 보편화 등 혁신적 기술들은 계속 등장하고 새로운 서비스와 가치를 창출하고 있습니다. 하지만, 악의적인 공격자들은 끊임없이 진화하여 다양한 신기술을 활용한 새로운 공격 방식을 통해 기업을 위협하고 있습니다. 사이버 위협은 기업의 지속 가능성을 위협하는 중대한 리스크이므로 기업은 사이버보안 강화를 경영 전략의 핵심 요소로 고려할 필요가 있으며 기업이 보유한 자산을 지키기 위해 방어 전략 및 체계 역시 진화가 시급한 상황입니다. 이러한 가운데 급부상하고 있는 제로트러스트는 기업의 사이버 위협 대응의 체질 개선을 위해 필수적으로 도입해야 하는 도전 과제라고 할 수 있습니다.
2023년 7월 과학기술정보통신부와 한국인터넷진흥원, 한국제로트러스트포럼의 공동 작업으로 ‘제로트러스트 가이드라인 1.0’을 발표했습니다. 가이드라인은 우리 기업들의 디지털 업무 환경 안전 체계를 제로트러스트로 이행하는 긴 여정의 첫 발걸음을 내딛는 과정이었습니다. 실제로 공공·민간의 많은 분야에서 가이드라인이 활용되었고 제로트러스트의 철학을 공유하고 기본적인 이해를 하는 데 도움이 됐다는 평이 주를 이루었습니다. 하지만, 한편으로 가이드라인이 제로트러스트 도입을 고려하는 기업의 입장에서 충분한 수준으로 작성을 한 것일까에 대한 걱정도 일부 있었습니다. 각 분야의 전문가들께서는 가이드라인에 대한 격려의 말씀과 함께 가감 없는 현실적인 조언을 전해주셨습니다. 이러한 다양한 의견은 제로트러스트 정책 방향성을 결정하는 데 많은 도움이 되었습니다.
제로트러스트 가이드라인 1.0이 나온 지도 벌써 1년 이상 지났습니다. 그 사이에 글로벌 제로트러스트 정책을 선도하는 미국은 많은 변화가 있었습니다. 연방정부의 각 기관은 대통령 안보 각서에 따라 OMB(관리예산실)에 제로트러스트의 도입과 요구 사항을 충실히 이행하였으며, 주 정부와 지방 행정 기관도 제로트러스트의 도입을 추진하는 등 제로트러스트를 더 이상 이상적인 개념이 아닌 현실에서 구현하기 위한 실체적인 움직임을 보이고 있습니다.
우리나라는 2023년 과학기술정보통신부와 한국인터넷진흥원이 국내 제로트러스트 실증 사업을 성공적으로 진행한 바 있으며, 2024년 시범사업을 연이어 추진함으로써 다양한 도입 사례 확보를 통해 제로트러스트 보안 모델 확산을 위해 노력하고 있습니다. 또한 공공, 금융, 군 등에서도 공공 데이터 활용, 혁신적 AI·클라우드 서비스의 도입, 유연한 근무 방식, 개발 환경 개선 등을 위하여 획일적인 보안 체계와 규정을 보완 하는 등 우리 사회 각 분야의 제로트러스트 보안 체계 전환의 공감대는 증가하고 있습니다.
2024년 5월 과학기술정보통신부와 한국인터넷진흥원 및 한국제로트러스트포럼 정책·제도분과 소속 산학연관 전문가들은 연구반을 구성하여 보안 담당자들의 어려움을 조금이라도 해소할 수 있는 새로운 가이드라인 발간을 기획했습니다. 연구반에서는 지난 수개월 동안 회의와 토론, 수정을 거쳤으며 그 결과물로 제로트러스트 성숙도 모델을 세부 역량 수준으로 상세히 기술하고, 제로트러스트 도입 과정과 도입 수준 분석 방안을 구체화하는 형태의 가이드라인 2.0이 완성하게 되었습니다.
가이드라인 2.0은 제로트러스트의 철학이 기업의 문화에 뿌리를 내릴 수 있도록 최고경영자와 정보보호 최고책임자, 실무자들이 반드시 읽어야 할 항목들을 정의하였으며, 기업의 구성원들이 적극적으로 제로트러스트 이행 과정에서 각자의 역할을 수행할 수 있는 기반을 제공하고자 합니다. 국내 기업들이 전사적으로 제로트러스트를 도입함으로써 위험을 완화하고 보안 수준을 향상한다면, 각 산업 분야에서 더욱 경쟁력을 갖춘 강력한 기업으로 성장하는 밑거름이 될 수 있을 것으로 생각합니다. 앞으로 본 가이드라인 2.0이 기업의 제로트러스트 도입 과정에서 도움이 될 수 있기를 기대하며, 많은 의견과 관심을 부탁드립니다
날로 증가하는 사이버 위협에 대응하기 위해서는 디지털 인프라의 근간인 소프트웨어(SW)와 SW 공급망의 신뢰성을 강화해야 합니다. SW를 포함한 디지털 제품에 포함될 수 있는 악성코드와 보안취약점을 악용한 사이버 공격을 사전에 방지하고, 사고 발생 시 신속하게 대응할 수 있는 SW 공급망 보안체계 수립을 위해 범정부적 노력이 필요합니다.
본 가이드라인은 국내 정부·공공기관 및 기업 관계자가 SW 공급망 보안 관련 국제동향을 비롯하여 SW 공급망을 위협할 수 있는 악성코드 및 보안취약점 관리 등에 관한 제반 사항을 쉽게 이해하고 활용할 수 있도록 지원하기 위해 마련되었습니다.
SW 개발과정에서 공개 SW와 같이 외부에서 개발된 SW의 사용 비중이 높아짐에 따라 SW에 포함된 악성코드 및 보안취약점 관리의 중요성이 커지고 있습니다. 일례로 공개 SW로 널리 활용되고 있는 ‘Log4j(자바 로깅 라이브러리)’의 보안취약점을 악용한 사이버보안 사고는 2021년 국내외에서 큰 피해를 입히며 맹위를 떨쳤던 대표적인 SW 공급망 공격사례입니다.
이와 같은 SW 공급망 공격은 대상 범위가 넓고 연쇄적 사고로 이어지며, 즉각 조치하지 못할 경우 수년간 피해가 지속되는 등 파급력이 큰 특징을 나타내고 있습니다. 그러나 SW의 보안취약점을 효과적으로 찾아내고 관리할 수 있다면 사전에 이를 예방할 수 있고, 사고 발생 시에는 타 사용자들에게 사고 상황을 빠르게 전파할 수 있을 뿐만 아니라, 신속하고 효과적인 복구를 지원하는 등 효율적인 대응이 가능합니다.
미국, 유럽 등 주요국은 SBOM(SW Bill of Materials)을 활용하여 SW의 신뢰성 확보에서 보안취약점 관리에 이르기까지 SW 공급망 보안 강화가 가능하다고 판단하고, SBOM을 적극 활용하기 위한 제도화를 추진하고 있습니다.
미국은 지난 2021년 5월, 연방정부에 SW를 납품할 때 SBOM을 포함한 보안관리 자체증명서 (Self Attestation Form)를 제출하도록 하고 이를 위한 세부 이행계획을 마련 중이며, 유럽연합(EU)도 역내에 공급(유통)되는 디지털 제품의 보안취약점 관리를 주요 내용으로 하는 ‘사이버복원력법 (CRA, Cyber Resilience Act)’ 제정안에 대해 EU 의회(Parliament)와 EU 이사회(Council)가 정치적으로 합의(’23.12월)하였고, 2024년 3월에는 EU 의회에서 제정 법안을 승인하는 등 법제화가 진행 중입니다. 그러나 SW 공급망의 신뢰성 강화를 위해 SBOM 제출을 의무화하는 것은 SW 개발기업은 물론 공급(유통)·수요 기업 등에게도 비용·인력 측면에서 현실적인 부담이 될 수 있습니다.
이에 국가정보원·과기정통부·디지털플랫폼정부위원회는 국내에 효과적으로 적용할 수 있는 SW 공급망 보안 강화방안을 마련하기 위해 산·학·연 전문가들과 협력하여 글로벌 동향을 분석·토론하였고, 국내 중소기업들이 제품 및 서비스 개발단계에서부터 SW 보안취약점을 찾아내고 보완할 수 있도록 기업 지원 시설을 보강하는 한편, 국산 SW 제품을 대상으로 SBOM 생성, 보안취약점 분석 및 조치 등에 관한 실증도 진행하였습니다. 금번 가이드라인에는 이와 같은 전문가 논의 결과, 중소기업 지원 경험 및 SBOM 국내 실증결과가 반영되었습니다.
본 가이드라인을 통해 SW 공급망 보안에 대한 사회적 인식이 새롭게 정립될 수 있기를 바랍니다. 정부는 앞으로도 해외사례 및 제도들을 모니터링하고, 주요 국가들과 협력을 강화하면서 가이드라인을 지속적으로 보완하고 발전시켜 나갈 계획입니다
