“디지털 질서를 위한 새로운 보안 패러다임을 마련한다” 과기정통부, 「제로트러스트, 공급망 보안」 포럼 발족식 |
- 기존 보안체계의 한계를 뛰어 넘는 新보안체계 마련에 나선다 - - 정책ㆍ제도, 공급ㆍ수요기업 협력 통한 적용사례 마련, 국가 표준화 추진 - |
과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)와 한국인터넷진흥원(원장 이원태, 이하 ‘KISA’)는 10월 26일 수요일 오후 2시부터 VOCO서울강남 호텔에서 ‘제로트러스트ㆍ공급망 보안 포럼 발족식’을 개최했다.
<제로트러스트, 공급망 보안 개념>
· (제로트러스트) ‘아무것도 신뢰하지 않는다’는 것을 전제로 하는 사이버보안 모델로 사용자나 기기의 접근을 철저히 검증하고, 검증이 이후에도 최소한의 권한만 부여
· (공급망 보안) SW 제품의 개발부터 운영·유지보수까지 SW공급의 전 단계에 투입되는 자원, 프로세스 등에 대한 취약점을 점검하고 보안 관리 |
이 날 행사는 날로 증가하는 지능적, 조직적인 사이버 위협에 대응하기 위해 기존 한계를 뛰어넘어 새로운 보안체계로 주목받고 있는 ‘제로트러스트’와 ‘공급망 보안’이 국내 정보보호 환경에 도입될 수 있도록 논의하기 위해 정보보호 전문가와 산업계 등 관계자 60여명이 참석하였다.
사회 전반에서 디지털 대전환이 빠르게 이루어지고 클라우드 컴퓨팅과 사물인터넷(IoT) 기기의 급증으로 네트워크가 확장되는 상황에서, 글로벌 기업들조차 내부 직원의 계정과 권한을 탈취한 해커를 정상적인 이용자로 신뢰하여 내부자료 유출 등 피해를 입는 사례가 증가하고 있다.
이러한 문제를 해결하기 위해 모든 대상에 대한 잠재적인 위협을 미리 식별하고, 새로운 접근에 대해서는 거듭 확인하여 적절한 권한을 부여하는 ‘제로트러스트’가 주목받고 있다.
또한, 네트워크에 연결되는 모든 전자기기들이 기본적으로 소프트웨어를 통해 동작, 활용되어 있는 가운데, 소프트웨어(SW)의 개발부터 운영, 유지보수 등 SW 공급 전단계가 복잡해지고 구성요소도 많은 점을 노려, 이를 악용하는 보안 위협을 줄이고 위험성을 관리해야 할 필요성이 늘고 있다.
미국 바이든 정부도 국가 사이버보안 개선에 대한 행정 명령(EO14028, ’21.5)을 발표하면서 제로트러스트 아키텍처를 연방정부에서 구현하도록 요구하고, 미연방기관에 SW내장 제품을 납품할 경우 SBOM 제출을 의무화 하는 등 공급망 보안 강화에 집중하고 있다.
* SBOM(Softeware Bill of Materials), SW의 구성요소를 식별하기 위한 명세서
과기정통부와 KISA도 이러한 사이버보안 환경 변화에 발맞춰 올해 초부터 ‘사이버보안 패러다임 전환 연구반’을 구성하여, 미국, 영국 등 사이버보안 선진국 사례를 분석하여 우리나라 산업 맞춤형 보안모델과 가이드라인 마련의 필요성을 제시한 바 있으며, 이를 구체화 하고 보안 패러다임 변화에 능동적으로 대응하기 위해 포럼을 발족하였다.
박윤규 2차관의 축사와 KISA 원장의 개회사로 시작된 포럼 발족식은 운영위원장인 순천향대학교 염흥열 교수가 포럼 발족의 의의를 설명하고, 그동안 준비되었던 제로트러스트 가이드라인(안)과 제로트러스트 모델의 국내 적용사례, 공급망 보안성 강화를 위한 정책 방향 등을 발표하였다.
이어진 패널 토론에서 전문가들은 우리나라 산업 현장에서 제로트러스트와 공급망 보안이 실제로 적용되기 위해서는 단순히 가이드라인만 제시하고 끝날 것이 아니라, 민간과 공공의 협력을 통해 실제로 다양한 케이스들을 발굴해 현장에 적용해 검증하고, 국가차원의 전략으로 이끌어 가면서 끊임없이 진화를 거쳐야 한다는 데 의견을 같이 했다.
앞으로 제로트러스트·공급망 보안 포럼은 운영위원회, 제로트러스트 분과(2개), 공급망 보안분과(2개)로 구성되며, 각 분과별로 정책·제도, 기술·표준과 산업 등의 관점에서 보안 관련 현안을 정책과제로 정해 관련 기술개발 연구, 실증사업 등을 통해 검증을 진행하고, 최종적으로는 국가 표준화를 목표로 추진할 계획이다.
《 포럼 분과 구성(안) 》
| 운영위원회 |
|
| |||||||||
(간사)KISA | ||||||||||||
| 위원장, 분과장, 관계부처, 공공기관·협회 | |||||||||||
| ||||||||||||
| ||||||||||||
|
| |||||||||||
|
|
|
| |||||||||
제로트러스트 |
| 공급망 보안 | ||||||||||
정책·제도 |
| 산업·기술 |
| 정책·산업 |
| 기술·표준 | ||||||
가이드라인 개발·표준화 |
| 기술수요 실증방안 |
| 추진전략 |
| 보안점검 가이드라인 개발 | ||||||
※ 포럼에 참여를 원하는 기업, 기관은 누구나 참여 가능 ㆍ(기업) 한국CISO협의회(02-701-7037), (보안기업) 한국정보보호산업협회(02-6748-2002), |
박윤규 2차관은 “우리 생활이 디지털로 전환되면서 기존 네트워크 경계 중심의 보안은 한계가 다가오고 있으며, 고도화되는 사이버 공격에 대응할 수 있는 전략과 전술이 필요한 시점”이라면서, “앞으로 제로트러스트와 공급망 보안을 기반으로 민간ㆍ공공, 제조ㆍ금융, 통신 등에 체계적으로 적용, 관련 기술과 솔루션 개발, 지원방안을 마련할 계획이며, 새로운 보안 패러다임이 디지털 질서의 기준이 될 수 있도록 노력하겠다”고 밝혔다.
< # 사진자료 15시 배포 예정 >
|
참 고 |
| 제로트러스트·공급망 보안 정책 포럼 발족식 계획 |
◇ 민간이 가진 디지털 역량을 국가 제로트러스트 모델 수립 및 공급망 보안 도입에 활용하기 위한 ‘제로트러스트·공급망 보안 정책 포럼’ 발족식 개최 |
□ 행사 개요
ㅇ (일시/장소) 10.26.(수) 14:00~15:30 / VOCO서울강남 볼룸홀*
* 강남구 신사역 1번 출구 VOCO서울강남 볼룸홀
ㅇ (참석자) 주요 기업·협회·대학·관계부처 및 산·학·연 관계자 등 60여명
※ 제로트러스트·공급망 보안 정책 포럼 민간위원장 : 염흥열 순천향대학교 교수
▪ (주요 기업) 엔씨소프트, SGA솔루션즈, 지니언스, LG전자 등 수요·공급기업
▪ (유관기관) 인터넷진흥원, 정보통신기술협회, 전자통신연구원, 국가보안기술연구소, 원자력통제기술원, 금융정보시스템연구회, 한국침해사고대응협의회, CISO협의회 등 |
ㅇ (주요내용) 포럼 발족 선포, 제로트러스트 및 공급망 보안 발제, 간담회
❶ 발족 : 포럼발족 의의 설명 등 개회식
❷ 발제 : 참여기업 ‘대응방향’ 발표
❸ 간담회 : 제로트러스트·공급망 보안 관련 대비해야 할 것들
□ 세부 진행계획
구분 | 시간 | 주요 내용 | 비 고 | |
개회식 | 14:00~14:05 | 인사 말씀 | 차관님 | |
14:05~14:10 | 개회사 | 원장님 | ||
14:10~14:20 | 포럼발족 의의 | 염흥열 교수 | ||
발제 | 14:20~14:50 | 발표1 | ZT가이드라인 준비 현황 및 나아갈 방향 | 이석준 교수 |
발표2 | 사이버 보안위협과 산업계 대응방향 | 신종회 센터장 | ||
발표3 | SW공급망 선진사례와 우리의 대비 | 최윤성 교수 | ||
패널토의 | 14:50~15:30 | 포럼 운영방향 자유토론 | 포럼 참여 위원 | |
폐회식 | 15:30~ | 폐회 및 정리 |
| |
