"금융권 자율보안, 제로트러스트 적용 필수"
금융회사가 스스로 보안체계를 강화할 수 있는 방향으로 전환하기 위해 금융당국이 '자율보안'을 추진하고 있는 가운데 금융권의 제로트러스트(Zero Trust) 보안 모델 적용과 관련한 제언이 나왔다. SGA솔루션즈 김광훈 전무는 30일 한국정보보호학회가 서울 양재동 aT센터에서 개최한 '제1회 제로트러스트 워크숍'에서 '금융 자율보안체계를 위한 제로트러스트 구현 전략'에 대해 발표했다. 김 전무는 금융 자율보안 체계 접근을 위해 금융기관 연구개발 환경 특성을 반영한 제로트러스트 보안 모델을 도입해야 한다고 강조했다. 구체적으로 ▲자율보안 체계 전환을 위한 선제적 보안체계 확보 ▲제로트러스트와 국가 망보안 체계(N2SF)를 결합한 보안 모델 구축 ▲구성요소, 핵심요소 등 제로트러스트 성숙도 수준을 모두 준용한 모델 구축 등 3가지 전략을 제시했다. 김 전무는 "금융권이 자율보안 체계에 빨리 대응하기 위해서는 검증된 우리만의 자율적인 보안 체계가 필요한데, N2SF는 좋은 사례가 되고 있다"며 "따라서 N2SF를 사용해서 금융권만의 보안 체계를 갖고 이를 제로트러스트를 통해 구현해서 보안 수준을 높은 수준을 향해 계속해서 고도화하는 것이 필요하다"고 강조했다. 그는 이날 발표에서 금융 자율보안 체계를 성공적으로 실현하기 위한 '4대 추진 전략'도 제시했다. 우선 자율보안 체계 전환을 위해 제로트러스트 보안 모델 도입을 통한 ISMS-P(정보보호 및 개인정보보호관리체계 인증) 고도화와 N2SF의 적용이 필요하다고 당부했다. ISMS-P의 보안 구현 체계를 경계형 보안 모델에서 제로 트러스트 보안 모델로 전환하고, N2SF 연구개발망 보안통제 항목을 제로트러스트 아키텍처 기반으로 달성해야 한다는 것이다. 또 소프트웨어 개발 단계부터 운영까지 전주기에 걸쳐 제로트러스트 기반의 강력한 보안 체계를 구축하고, 4단계 성숙도 모델 기반의 수준 진단 및 도입 효과를 검증하는 절차도 중요하다고 강조했다. 이어 제로트러스트를 단계별로 구축 및 확장하기 위해 '풀 스택(Full-stack)' 기반의 제로트러스트 아키텍처(ZTA) 프레임워크 도입이 반드시 필요하다고 역설했다.
