by 송면규 칼럼니스트 Jul 17. 2023
각종 사이버 공격에 관한 뉴스가 심심찮게 보도되고 있다. 사이버 공격은 갈수록 심해질 것 같고 또 교묘해질 것으로 예측된다. 정보통신 기술의 발달이 가져온 역기능 아닐까 싶다. 그래서 정보보호의 중요함을 알 수 있다.
정보보호는 정보의 수집, 가공, 저장, 검색, 송수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위의 개념을 의미한다.
이러한 것을 뒷받침하기 위한 정보보호 관련 법률에는 데이터 3 법이 있는데 개인정보 보호법, 정보통신망법, 신용정보법이 그것이다.
한 보험회사에서 금융기업 종사자와 금융 전문가를 통한 설문조사 결과를 보면 "요즘 가장 주요한 위험이 무엇인가"에 대해 사이버 사고가 비즈니스 위험의 39%를 차지했다고 한다.
제로 트러스트는 기업의 내외부를 막론하고 적절한 인증절차 없이는 누구도 신뢰하지 않는 것이 기본 원칙이며 접근 범위를 최소화해서 보안사고의 가능성을 줄일 수 있다.
그러나 제로 트러스트가 효율적인 대안이 될 수는 있지만 최적의 해답은 될 수 없다고 본다. 따라서 기존의 것과 전혀 다른 새로운 것임을 인지할 필요가 있다. 또한 시스템이 한 번의 구축으로 끝나는 개념이 아니라 지속적인 검증과 개선을 통해서 그 진가를 발휘할 수 있다고 본다.
제로 트러스트의 7가지 원칙을 보면,
1. 모든 데이터의 소스와 컴퓨팅 서비스는 리소스로 간주한다.
2. 네트워크 위치와 관계없이 모든 통신을 안전하게 만든다.
3. 개별 엔터프라이즈 리소스에 대한 액세스는 세션 각각으로 승인된다.
4. 리소스에 대한 액세스는 클라이언트 ID와 애플리케이션, 서비스, 요청 자산의 관측 가능한 상태 등 동적 정책에 의해 결정된다.
5. 기업은 모든 소유 및 관련 자산의 무결성과 보안 상태를 모니터링하고 측정한다.
6. 모든 리소스 인증 및 권한 승인은 가변적이며 액세스를 허용하기 전에 엄격히 적용한다.
7. 기업은 자산, 네트워크, 인프라, 통신의 현재 상태에 대한 정보를 가능한 많이 수집하고 이를 활용해 보안 상태를 개선한다.
디지털 시대를 살고 있는 요즘, 리스크를 보다 효율적으로 관리하기 위해서는 "정보보안이 필수 불가결하다"는 점을 강조하면서 보안강국 대한민국을 기대해 본다.
