한국인터넷진흥원이 진화에 변화를 거듭하고 있는 신규 보안 위협을 선제적으로 파악하고 운영 기술(OT) 보안의 패러다임 전환을 위해 ‘OT 환경의 제로트러스트 적용 안내서’를 국내 최초로 마련했다고 22일 밝혔다.
제로트러스트(Zero Trust)는 정보시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’는 새로운 보안 개념이다.
운영 기술(OT, Operational Technology)은 산업 설비와 공정을 실시간으로 제어·운영하는 기술로, 전력·교통·에너지 등 국가 주요 인프라의 안정적 운영에 핵심적 역할을 수행하고 있다.
과학기술정보통신부와 KISA는 2023년 7월 제로트러스트의 기본개념과 원리, 핵심 원칙 등을 담은 ‘제로트러스트 가이드라인 1.0’을 마련한 바 있다. 이어 2024년 12월 실제 기업에서 제로트러스트 보안 모델을 활용하는 데 도움을 줄 수 있도록 실증사업 결과, 세부 도입 절차 및 방법론 등을 포함한 ‘제로트러스트 가이드라인 2.0’을 만들었다.
‘OT 환경의 제로트러스트 적용 안내서’는 리소스·데이터 접근제어를 위한 지속적인 인증 및 동적 검증 등을 수행하는 기존 정보 기술(IT) 환경에서의 제로트러스트와는 달리 산업 현장 장비의 가용성과 실시간성을 요구하는 OT 환경의 특성을 고려한 국내 최초의 OT 특화 제로트러스트 적용 방안이다.
이번 안내서는 OT 환경에 제로트러스트를 적용하기 위해 IT와 OT 네트워크 계층을 구분하는 퍼듀(Purdue) 모델을 포괄한다. 국내 산업 환경에 맞게 ‘제로트러스트 가이드라인 2.0’의 6대 핵심요소를 기반으로 제로트러스트 요구사항을 제시하고, 추후 추가적인 연구를 통해 단계별 성숙도 모델로 발전시키는 것을 목표로 하고 있다.
OT 특화 제로트러스트를 위한 핵심 원칙으로는 △실시간성·가용성 유지 △OT 장비의 독립성 유지 △OT·IT 전역에서의 침해 가정 △지속적 모니터링이라는 제로트러스트 원칙이 공통적으로 적용돼야 한다.
미국 등 글로벌 선진국이 OT 보안을 중심으로 한 다양한 전략을 수행하고 있기 때문에 국내에서도 기존 제도를 보완함으로써 OT 보안 강화를 위한 선제적인 실증 연구·대응 방안 마련 등을 지속 추진해 나갈 예정이다.
이상중 원장은 “이번 안내서가 국내 OT 보안에 대한 인식을 제고하고, 산업 현장의 OT 보안 수준을 한 단계 높이는 데 기여하길 바란다”며 “OT 보안의 패러다임 전환이 필요한 시점이며, 글로벌 선도국 지침을 참고한 세부내용 고도화 보안 안내서를 지속 개발해 나가겠다”고 말했다.
![[이투PICK 순삭랭킹] 12월 셋째 주 유튜브 영상 순위](https://img.etoday.co.kr/crop/320/200/2269073.jpg)