[IT백과] N²SF와 제로트러스트의 만남, `오버레이(Overlay)`

실시간
뉴스

보안

[IT백과] N²SF와 제로트러스트의 만남, '오버레이(Overlay)'

디지털데일리 발행일 2025-02-06 10:49:24

김보민 기자

URL복사

정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고 싶은 전문가라면, 디지털데일리의 'IT백과'를 참고하세요. <편집자주>

[디지털데일리 김보민기자] 공공기관이 망분리 환경을 개선할 때 고려할 국가망보안체계(National Network Security Framework·이하 N²SF) 가이드라인 초안이 공개됐다. 업무 중요도에 따라 정부 전산망을 기밀(C)·민감(S)·공개(O) 등급으로 분류하는 내용을 담은 이번 가이드라인은 공공 분야 망개선 작업에 핵심축으로 작용할 전망이다.

공공 분야에서 제로트러스트 보안이 가시화될 것이라는 기대감도 피어오르고 있다. 업무 중요도에 따라 보안 통제 항목을 차등 적용하는 N²SF 개념이 제로트러스트와 맞닿아 있기 때문이다. 제로트러스트는 '누구도 믿지 말고 검증하라'는 의미의 보안 방법론으로 인증 체계 강화, 초세분화(마이크로세그멘테이션), 소프트웨어(SW) 정의 경계 등 3가지 원칙을 적용하는 것이 핵심이다.

그러나 일각에서는 망환경을 개선하기 위해 N²SF와 제로트러스트를 별도 개념으로 적용해야 하는 것인지, 아니면 융합이 가능한 것인지 혼란이 발생할 수 있다는 의견이 나온다. N²SF는 프레임워크, 제로트러스트는 보안 모델이라는 개념을 갖추고 있는 만큼 적용 취지와 방법에 혼선이 생길 수 있다는 취지다.

이러한 분위기 속 N²SF와 제로트러스트를 결합할 키워드로 '오버레이(Overlay)'가 떠올랐다. 오버레이는 보안통제 항목을 조정하기 위한 세부지침으로, 보안통제 항목을 구현할 때 고려해야 할 세부사항(파라미터)를 지정하는 것이 특징이다. 보안통제 항목을 적용할 때, 각 조직의 목표에 따라 N²SF와 제로트러스트 개념을 반영할 수 있다는 의미다.

미국 국립표준기술연구소(NIST) 위험관리프레임워크(RMF)가 제시한 '오버레이'는 미 국방성(Department of Defense·DoD)이 제로트러스트 보안을 이야기할 때 강조되는 키워드다. 미국 DoD는 제로트러스트 환경을 구현한 선두주자로 꼽힌다. 지난해 6월에는 380페이지 분량의 '제로트러스트 오버레이' 문서를 발표하며 미 국방부의 보안 로드맵을 달성하는 데 해당 개념이 기여할 수 있을 것으로 자신하기도 했다.

미국 DoD가 제시한 제로트러스트 오버레이는 ▲사용자 ▲기기(디바이스) 데이터 ▲자동화 및 오케스트레이션 ▲가시성 ▲애플리케이션 및 워크로드 등 보안통제 항목을 요구한다. 조직은 보안정책과 절차, 권한, 데이터 태깅 등 개별 목표에 맞춰 국가망보안체계를 구성할 수 있다. 제로트러스트 보안의 핵심인 인증, 데이터 세분화, SW 정의 경계 또한 설정이 가능하다. DoD는 추후 방위사업 전반에 오버레이를 표준화하고, 제로트러스트를 구현하기 위한 단계적 접근 방식을 규정하겠다고 밝혔다.

미국 국방성(DoD)이 제시한 보안통제 항목에 대한 제로트러스트 오버레이 [ⓒ국가망보안체계 가이드라인 초안]

한국도 오버레이 방식으로 N²SF와 제로트러스트 보안을 도입하는 방향을 추진할 전망이다.

이번 가이드라인은 참고 항목을 통해 '국가망보안체계 기반 제로트러스트 적용 방법'을 소개했다. 가이드라인은 "국가망보안체계 보안통제 항목은 미국 NIST RMF가 제공하는 오버레이 개념을 적용할 수 있다"며 "제로트러스트, 공급망 보안, 회복력 등을 위한 오버레이를 위험관리 활동에 적용하게 되면 범용적인 보안통제 항목을 특화 내용으로 설계하고 구성할 수 있게 된다"고 설명했다.

미국 DoD의 제로트러스트 오버레이를 참고 사례로 소개하기도 했다. 가이드라인은 "이를 이용하면 보안통제 항목에 대해 제로트러스트 관점의 기능성을 판단할 수 있다"며 "결과적으로 조직은 제로트러스트 보안 목표를 달성하기 위해, 특정 보안통제 항목을 추가하거나 제로트러스트 기능성 강화를 위해 보안통제 항목의 세부사항을 조정할 수 있다"고 부연했다.

이번 가이드라인을 발표한 국가정보원(이하 국정원)은 미비점과 보완사항을 반영해 올해 7월 N²SF 보안 가이드를 정식 배포하고 시행할 계획이다. 해외 사례를 참조해, 한국 환경에 맞는 정책 시행 또한 검토할 계획이다.

현재 정부 차원에서 보안 정책을 강화하고 있는 대표적인 국가는 미국이다. 미국 NIST RMF는 미 연방정보보안현대화법(FISMA) 요구사항을 충족해, 조직이 정보보안 및 개인정보보호에서 위험을 관리하는 데 사용할 수 있는 위험관리 프레임워크를 제공하고 있다. 해당 프레임워크는 미국을 넘어 한국, 호주, 뉴질랜드 등 주요국에서 참고 표준으로 여겨지고 있다.

한국처럼 보안 분류 정책을 펼치는 곳은 영국이다. 영국은 2014년 정부가 수립한 보안분류정책(GSCP)을 기반으로 중요 정보를 공식(Official)·기밀(Secret)·최고 기밀(Top Secret) 등 세 가지 등급으로 분류한다. 등급별로 다른 수준의 보안 요구사항이 적용되는 것 또한 국내 가이드라인과 유사하다.

캐나다는 정보기술 보안 위험관리(IT Security Risk Management·이하 ITSG-33)를 통해 자국 정보보안 프레임워크를 운영하고 있다. ITSG-33은 NIST RMF를 바탕으로 캐나다 정부 요구사항을 충족하도록 개발됐다. 위험 관리 활동을 부서 IT 보안 위험관리 계층, 정보시스템 보안 위험관리 계층으로 나누고 연계하는 것이 핵심이다.

한편 2025년 창간 20주년을 맞은 디지털데일리는 2월20일 서울 명동에 위치한 전국은행연합회 은행회관 국제회의실 2층에서 <디지털신뢰 새 패러다임, 제로트러스트 적용 전략>을 주제로 콘퍼런스를 개최한다.

최근 정부는 제로트러스트 2.0 가이드라인과 국가망보안체계(N²SF) 가이드라인을 발표하며, 디지털신뢰 새 패러다임을 위한 밑거름을 만들었다. 이에 이번 콘퍼런스에서는 ▲국가정보원 '국가망보안체계(N²SF) 개념 및 주요 내용' ▲과학기술정보통신부 '제로트러스트 2.0 가이드라인 해설'을 들을 수 있다. 국가정보원 주제발표 경우, 촬영과 영상 송출을 제한할 예정이라 현장에서만 내용을 확인할 수 있다.

또한, 서울시 제로트러스트 전략을 책임지는 ▲김완집 서울시 정보보안과장이 '서울시 EDR 및 제로트러스트 추진현황과 전략'을 소개할 예정이다. 서울시는 제로트러스트 로드맵 일환으로 다음달 EDR(엔드포인트 탐지‧대응) 사업을 공개할 예정이다. ▲BNK부산은행이 제로트러스트 현황과 계획 등을 설명하는 금융권 발표도 준비돼 있다.

이와 함께 정부, 지자체, 금융, 엔터프라이즈 산업에서 제로트러스트 사업을 진행할 때 필요한 보안 아키텍처와 솔루션을 제시할 기업들도 함께 만나볼 수 있다. 실제 사용 사례 등을 통해 실행 가능하고, 실질적인 제로트러스트 계획을 도모할 것으로 기대된다.

참석 관련 사전등록 페이지는 2월20일 오후 디지털데일리 홈페이지를 통해 공개된다. 등록비는 사전등록 경우 3만원, 현장 등록은 5만원이며 부가세는 별도다.