제로 트러스트

제로 트러스트는 2010년 포레스터(Forrester) 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 창안했으며 '아무도 신뢰하지 않는다'는 원칙을 전제로 모든 접근을 잠재적 보안 위협으로 판단하는 개념이다. 기존 경계보안 방식에서 벗어나 분산 방화벽을 이용한 '초세분화(마이크로 세그멘테이션)' 등이 핵심이다.

이날 발족식에서 이석준 가천대 교수는 제로트러스트에 대해 "내부에도 공격자가 존재할 수 있다는 가정을 포함하는 개념"이라며 "공격을 원천 차단하는 것이 아닌 공격이 발생했더라도 파급 효과를 최소화한다는 의미도 포함된다"고 설명했다.

제로 트러스트란 '아무도 신뢰하지 않는다'는 것을 전제로 하는 사이버 보안 모델이다. 사용자나 기기의 접근을 철저히 검증하고 검증 후에도 최소한의 권한만 부여하는 방식이다.

기관·기업 등 조직을 내부와 외부로, 정보통신 서비스 생태계의 주체를 제공자와 이용자로 이분법적으로 나누는 종전까지의 '영역 중심' 보안 패러다임이 최근의 사이버 공격에 대응하기에 적절치 않다는 반성에서 태동된 것이다.

기존처럼 외부 공격을 방어하기 위한 영역보안이 아니라 네트워크 각 단계별 취약요소에 전부 대응할 수 있는 보안 패러다임으로 무게추가 옮겨가야 한다는 데 공감대가 커지고 있다.

미국에서는 연방기관에 SW 내장 제품을 납품할 때 SW 구성요소를 식별하기 위한 명세서인 SBOM(Softeware Bill of Materials)을 의무적으로 제출토록 하는 규제를 시행하기도 한다.