“국가망보안체계는 공공 위험관리 프레임워크…제로 트러스트와 굿파트너” 작성일 10-30 49 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="7pCMvOQ9Dz"> <figure class="figure_frm origin_fig" contents-hash="430decb590e3e6918678616ca73e97f81a740b72b7d6b6675335f85c3b561d71" dmcf-pid="zUhRTIx2w7" dmcf-ptype="figure"> <p class="link_figure"><img alt="한국정보보학회 제로트러스트연구회와 한국정보보호산업협회(KISA) 산하 한국제로트러스트위원회(KOZETA)가 30일 서울 서초구 AT센터에서 개최한 '제1회 제로 트러스트 워크숍' 전경." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/30/etimesi/20251030124852790veud.jpg" data-org-width="700" dmcf-mid="ub4YQVyODq" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/30/etimesi/20251030124852790veud.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 한국정보보학회 제로트러스트연구회와 한국정보보호산업협회(KISA) 산하 한국제로트러스트위원회(KOZETA)가 30일 서울 서초구 AT센터에서 개최한 '제1회 제로 트러스트 워크숍' 전경. </figcaption> </figure> <p contents-hash="4ff496609be6a72215300bb70accb21a4de163fc7024111fcab4e37adb10486e" dmcf-pid="quleyCMVru" dmcf-ptype="general">“국가망보안체계(N2SF)는 좁은 의미로는 보안성 검토를 받기 위한 방법론이지만 넓은 의미에선 위험관리 체계를 도입한 것입니다.”</p> <p contents-hash="c5294033293913b6285005088ee7b371c31aaf47676dbcfffec87a2516602687" dmcf-pid="B7SdWhRfsU" dmcf-ptype="general">이철호 엔키화이트햇 연구소장은 30일 서울 서초구 AT센터에서 열린 '제1회 제로 트러스트 워크숍'에서 “N2SF는 (공공 분야의) 한국형 위험관리 프레임워크이며, 제로 트러스트(Zero Trust)와 굿파트너”라며 이같이 말했다.</p> <p contents-hash="eee298aa002676aa5637a41d8a472fd1af33c3421ea543c32028091e95996217" dmcf-pid="bzvJYle4wp" dmcf-ptype="general">국가정보원이 주도하고 있는 N2SF는 클라우드·인공지능(AI) 등 정보기술(IT) 신기술을 공공에 도입하기 위해 정보시스템 중요도에 따라 보안 정책을 차등 적용하는 새로운 보안 체계다. 국정원은 N2SF 이해도를 높이기 위한 가이드라인 1.0을 지난 9월 발표한 바 있다.</p> <p contents-hash="9b995474e9733ecd808ec8a41cad8bef77a643f4974a0585d028acab6fe649dd" dmcf-pid="KBynHvJ6w0" dmcf-ptype="general">가이드라인 집필에 참여한 이 소장은 N2SF를 공공 분야 위험관리로 정의했다. 위험관리는 자산에 대한 위협 식별 평가 우선순위화하고 발생 가능성이나 발생 시 영향을 최소화하기 위해 관리하는 일련의 과정을 말한다.</p> <p contents-hash="7098133869f32f276abc8d835802ce43dafb45f784aaf405a46b33ae1b95c0b9" dmcf-pid="9bWLXTiPI3" dmcf-ptype="general">이 소장은 N2SF 절차와 ZT 도입절차 간 매핑도 제시했다.</p> <p contents-hash="c7d9ea6d147e854087feb14fd4b200f6d942e5ed1c4b000b58dfc25a2db3211e" dmcf-pid="2KYoZynQDF" dmcf-ptype="general">우선 제로 트러스트 도입 시 준비단계에서 '위험도, 업무 중요도, 예산 등을 중심으로 갭(Gap) 분석'을 수행하는 것이 N2SF 도입에서 '위협식별' 과정과 맞닿아 있다. 위협식별은 정보서비스 구성환경을 모델링하고 위협을 식별하는 단계다.</p> <p contents-hash="cb4b08bd222f167afaf4f2b0222e3fad1bdf849fb735b9936ad10882b8d269df" dmcf-pid="V9Gg5WLxIt" dmcf-ptype="general">또 제로 트러스트 '계획' 단계와 N2SF의 '보안대책 수립' 단계가, 제로 트러스트의 '구현', '운영' 단계가 국가정보보안기본지침의 '구현', '운영'과 일치한다.</p> <p contents-hash="c497e4b4a6b9ca9b84abbe7d1d5345d61b9c0584addb962a5ec1c712a2cd8ed8" dmcf-pid="f2Ha1YoMD1" dmcf-ptype="general">실제 N2SF 가이드라인 1.0을 살펴봐도, '제로 트러스트 원칙이나 기관 고유의 임무 특성을 고려해 통제를 재해석하거나 세분화할 수 있는 여지를 제공한다', '제로 트러스트의 철학을 포용한다', 'N2SF 6개 대항목 분류는 제로 트러스트의 핵심 구성요소인 필러(Pillar·기둥)와 직접적으로 대응된다', 제로 트러스트의 성숙도 모델은 N2SF의 보안통제 항목 적용 절차와 연계할 수 있다' 등을 명시하고 있다. N2SF와 제로 트러스트는 뗄레야 뗄 수 없는 관계인 것이다.</p> <p contents-hash="5dbe52f70783ea2eb10fb1f66e86d9b1d4fced7ba35f22dc0a752f390caa76d3" dmcf-pid="4VXNtGgRw5" dmcf-ptype="general">이 소장은 “N2SF 보안 통제항목별로 제로 트러스트 성숙도 모델을 매핑해 현장에서 적용이 가능하다”고 말했다.</p> <p contents-hash="552396602c50597b063ed86f4aa07e5a910a7780325a29cf49f5b2ce13c5b288" dmcf-pid="8fZjFHaeEZ" dmcf-ptype="general">이봉준 SK쉴더스 수석은 성공적인 제로 트러스트를 구현 방법에 대해 소개했다.</p> <p contents-hash="ecf25f661b6ca296c54b532db958c7b3dfca59fbd3de99e17bac27c07d60f31f" dmcf-pid="645A3XNdOX" dmcf-ptype="general">제로 트러스트 구현에는 △사용자 △디바이스 △네트워크 △시스템 △애플리케이션 △데이터 △가시성과 분석 △자동화와 통합 등 8개 필러가 존재한다. 이 가운데 현재 기업은 사용자 인증, 접근통제 보안, 데이터 보안, 제로 트러스트 기반 위협 대응 순으로 구축하고 있다.</p> <p contents-hash="247017f5e2ac50eeb4913ebf35d4b8aca698f86943ba737f9ecb1883827244f7" dmcf-pid="P81c0ZjJrH" dmcf-ptype="general">SK쉴더스는 디바이스 자체에 엔드포인트 탐지·대응(EDR), 통합엔드포인트관리(UEM) 등 보안 솔루션을 통해 접근통제 보안을 지원하고 있다. 또 위협대응을 위해선 AI 기술이 필수적이라고 보고 있다. AI 기술 없이는 수많은 데이터를 한 번에 탐지하고 대응할 수 없어서다.</p> <p contents-hash="dddc3cde72e24e2b1a645f3ae1ab44e4334da12e5757ebbbaabcf9a978df55d1" dmcf-pid="Q6tkp5AiOG" dmcf-ptype="general">이봉준 수석은 “제로 트러스트 전환이 쉽지만은 않지만 실질적으로 일어나고 있다”며 “1금융권과 통신사 등 대기업을 중심으로 점진적이지만 확실하게 제로 트러스트 구축이 진행되고 있다”고 말했다.</p> <p contents-hash="5d0054020c7755fdf2913c2313326cb6f7cc01b194249f33cd929a517b97ada4" dmcf-pid="xPFEU1cnrY" dmcf-ptype="general">한편, 이번 행사는 한국정보보학회가 주최했으며, 제로트러스트연구회와 한국정보보호산업협회(KISA) 산하 한국제로트러스트위원회(KOZETA)가 공동 주관했다.</p> <p contents-hash="794789a4e8afa496ec4349f28fcde9cb4f6c7d5e3e149f16c07e7f53907cdb66" dmcf-pid="yvgzALu5OW" dmcf-ptype="general">조재학 기자 2jh@etnews.com</p> </section> </div> <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 변성현 감독, 홍경 하극상 발언에 긁혀 ‘굿뉴스’ 캐스팅 “꼰대 될까봐 화 못 내”(12시엔) 10-30 다음 “한국은 저의 은인입니다”…15년 만에 금의환향 젠슨 황 [전자만사] 10-30 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
