제로트러스트란 ‘그 누구도, 어떤 활동도 기본적으로 신뢰하지 않는다’는 것에 바탕을 둔 보안 개념이다. 내부 자원에 접근하려는 주체를 지속적으로 검증하는 것이 특징으로, 최근 망분리 규제 완화 흐름에서 핵심 보안 강화 전략으로 부상하고 있다.
이번 안내서는 제로트러스트 도입 필요성에는 공감하지만, 그간 성공적 구축 사례나 구체적 예시 등이 부족해 도입에 소극적이었던 금융회사에 실질적 도움을 주기 위해 마련됐다. 일반적인 개념이나 원리보다는, 금융에 특화된 제로트러스트 구축 예시와 보안 진단 항목 등 실무 중심 내용으로 구성해 현장 활용도를 높인 점이 특징이다.
금융권 IT 환경 등을 고려해 ▲재택근무 ▲업무 단말 ▲서비스형 소프트웨어(SaaS) ▲연구・개발 ▲본・지점 간 통신의 5개 네트워크 구간을 제로트러스트 우선 도입 가능 대상으로 보고, 구간별 접근통제 모델(Zero Trust Network Access, ZTNA) 구축 예시를 상세하게 제시하고 있다. 금융회사가 제로트러스트 도입 후 안전성을 빠짐없이 검증할 수 있도록 7개 분야 21개 항목으로 구성된 제로트러스트 보안 진단 기준을 함께 제공한다.
박상원 금융보안원 원장은 “금융권의 망분리 규제 완화, 클라우드 이용 확대 등으로 금융회사의 내・외부 네트워크 경계(Perimeter)가 갈수록 모호해지고 있다”며 “금융회사는 모든 접속과 행위를 검증하는 제로트러스트 도입을 적극 검토해야 할 시점으로, 이번 안내서가 금융회사의 제로트러스트 도입에 실질적인 지침서가 되기를 바란다”고 밝혔다.
