검색 본문 바로가기 회사정보 바로가기
카카오채널 구독
> IT/과학 > 보안ㆍ해킹

"'기생충'처럼 끊어진 '믿음의 벨트'"…'제로 트러스트·공급망 보안' 포럼 발족(종합)

과기정통부·한국인터넷진흥원 '보안 정책 포럼' 출범
삼성·LG도 상반기 '해킹'…한국형 정책 수립 '속도'

(서울=뉴스1) 오현주 기자, 김승준 기자 | 2022-10-26 19:08 송고
박윤규 과학기술정보통신부 제2차관이 26일 오후 서울 강남구 보코서울강남호텔에서 열린 '제로트러스트 공급망 보안 정책 포럼 발족식'에서 인사말을 하고 있다. 이날 열린 발족식에 제로트러스트 및 공급망 보안 관련 논의를 위해 정보보호 전문가와 산업계 관계자 60여명이 참석했다. (과학기술정보통신부 제공) 2022.10.26/뉴스1
박윤규 과학기술정보통신부 제2차관이 26일 오후 서울 강남구 보코서울강남호텔에서 열린 '제로트러스트 공급망 보안 정책 포럼 발족식'에서 인사말을 하고 있다. 이날 열린 발족식에 제로트러스트 및 공급망 보안 관련 논의를 위해 정보보호 전문가와 산업계 관계자 60여명이 참석했다. (과학기술정보통신부 제공) 2022.10.26/뉴스1

정부가 한국형 '제로 트러스트·공급망 보안' 정책을 수립하고자 학계·산업계와 손을 잡았다. 지난 3월 삼성전자·LG전자 등 국내 대기업도 신흥해커 조직 '랩서스'로부터 공격을 받는 등 곳곳에서 교묘한 수법의 해킹이 잇따른 결과다.    
과학기술정보통신부와 한국인터넷진흥원(KISA)은 26일 오후 서울 강남구 보코 호텔에서 '제로 트러스트·공급망 보안 정책 포럼' 발족식을 열었다.

이날 행사에는 박윤규 과학기술정보통신부 제2차관·이원태 KISA 원장과 함께 정보보호 학계 전문가와 산업계 등 관계자 60여 명이 자리했다.

◇'제로 트러스트·공급망 보안 정책' 포럼 출범…"새 보안 기준 마련 필요" 

이들은 '제로트러스트'와 '공급망 보안'을 주요 키워드로 잡고 국내 맞춤 정책이 필요한 이유를 거듭 강조했다.
박윤규 과기정통부 차관은 "세계 주요 국가와 글로벌 기업을 향한 공격이 날이 갈수록 지능화되고 조직화되고 있다"며 "절대 신뢰하지 말고 항상 검증하라는 '제로 트러스트'와 '공급망' 보안'을 위한 새 기준을 마련하고 단계별 도입을 추진할 시점이 왔다"고 말했다.

이석준 가천대학교 스마트보안학과 교수는 "'믿음의 벨트'의 배신을 다룬 영화 '기생충'처럼, (믿고 데려온) 내부 사용자에 의해서도 피해가 생기면 감당할 수 없는 수준으로 커진다"며 "못 믿는다는 뜻처럼 내부에 공격자가 있다는 것을 가정할 필요가 있다"고 말했다.

박윤규 과학기술정보통신부 제2차관이 26일 오후 서울 강남구 보코서울강남호텔에서 열린 '제로트러스트 공급망 보안 정책 포럼 발족식'에서 인사말을 하고 있다. 이날 열린 발족식에 제로트러스트 및 공급망 보안 관련 논의를 위해 정보보호 전문가와 산업계 관계자 60여명이 참석했다. (과학기술정보통신부 제공) 2022.10.26/뉴스1
박윤규 과학기술정보통신부 제2차관이 26일 오후 서울 강남구 보코서울강남호텔에서 열린 '제로트러스트 공급망 보안 정책 포럼 발족식'에서 인사말을 하고 있다. 이날 열린 발족식에 제로트러스트 및 공급망 보안 관련 논의를 위해 정보보호 전문가와 산업계 관계자 60여명이 참석했다. (과학기술정보통신부 제공) 2022.10.26/뉴스1

'제로트러스트'는 '아무것도 신뢰하지 않는다'는 의미의 사이버 보안 모델을 말한다. 사용자나 기기의 접근을 철저히 검증하고, 검증 이후에도 최소한의 권한만 부여한다. 최근 마이크로소프트(MS)·엔비디아 등 글로벌 기업조차 탈취한 내부 계정을 무작위로 대입해 접속하는 일명 '크리데셜 스터핑' 기법의 해킹을 당해 내부 자료를 유출하는 등 사례가 증가하면서 주목받고 있다.

또 공급망 보안은 소프트웨어(SW) 제품의 개발부터 운영·유지보수까지 SW공급의 전 단계에 투입되는 자원, 프로세스 등에 대한 취약점을 점검하고 관리하는 것을 말한다. 앞서 지난 2020년·2021년 미국 정보기술(IT) 기업인 솔라윈즈와 카세야가 공급망 공격 피해를 입었는데, 그 여파는 미국 정부기관을 비롯해 여러 기업까지 이어졌다. 

◇美바이든 정부, 관련 정책 수립 '속도'…한국형 보안 모델 수립 '주목'

이미 미국은 '제로트러스트'와 '공급망' 보안 정책 수립에 속도를 낸 상태다. 바이든 정부는 올해 국가 사이버 보안 개선에 대한 행정 명령을 발표하면서 제로트러스트 아키텍처를 연방정부에서 구현하도록 요구했다.

또 미국 연방기관에 SW 내장 제품을 납품할 경우 SW 구성 요소 식별을 위한 명세서(SBOM) 제출을 의무화 하는 등 공급망 보안 강화에도 집중하고 있다.

과학기술정보통신부와 KISA 역시 올 상반기 '사이버보안 패러다임 전환 연구반'을 만들고 우리나라 맞춤형 보안 모델과 가이드라인의 필요성을 제시했다. 나아가 좀더 구체적인 체계 마련을 위해 학계·업계 전문가와 함께 이번 포럼을 만들게 됐다.  

포럼은 △운영위원회 △제로 트러스트 2개 분과 △공급망 보안 2개 분과로 구성됐다. 각 분과는 보안 관련 현안을 정책과제로 정하고, 관련 기술개발 연구·실증사업 등을 통해 검증 및 표준화 작업을 추진한다.

포럼 의장인 염흥렬 순천향대 교수는 "새로운 보안 패러다임에 대한 능동적인 대응이 필요하다"며 "이를 위해 정보 공유·국가 정책·실증 사업·연구개발(R&D) 등을 통해 하나의 생태계를 만드는 게 중요한 데 이 포럼이 플랫폼 역할을 할 것"이라고 말했다.


woobi123@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

이런 일&저런 일

오늘의 핫 포토

尹, 이재명과 통화…"다음주 용산에서 만나자"

한덕수 총리 "25학년도 한해 의대별 증원분 50~100% 자율 모집"

고개숙인 여당 낙선 후보들

'해양레저의 모든 것'…2024 부산국제보트쇼 개막

서민 대표 음식 김밥 값도 덩달아 상승

4·19 묘역 찾은 유족

철쭉동산 찾은 시민들

이런 일&저런 일

    더보기

    전문가 더보기

    외부 필진 더보기

    뉴스1 칼럼 더보기

    news1 블로거 더보기

    BBC