제목 : 금융보안원, 「금융분야 제로트러스트 보안 안내서」 발간
◈ 금융회사의 제로트러스트 도입 지원을 위해 금융권 특화 5개 네트워크 구간*에 대한 제로트러스트 구축 상세 예시 제시
* ①재택근무, ②업무 단말, ③SaaS, ④연구・개발, ⑤본・지점 간 통신
◈ 제로트러스트 구축 사례별 금융보안 진단기준(7개 분야 21개 항목) 제공
□ 금융보안원(원장 박상원)은 망분리 규제 완화 흐름 속에서 핵심 보안 강화 전략으로 부상하고 있는 제로트러스트*(zero trust)를 금융회사가 쉽고 안전하게 구축・운영할 수 있도록 「금융분야 제로트러스트 보안 안내서」를 발간
* ‘그 누구도, 어떤 활동도 기본적으로 신뢰하지 않는다’는 것에 바탕을 둔 보안 개념으로, 내부 자원에 접근하려는 주체에 대해 지속적 검증을 수행
ㅇ 본 안내서는 제로트러스트 도입 필요성에는 공감하지만, 그간 성공적 구축 사례나 구체적 예시 등이 부족하여 제로트러스트 도입에 소극적이였던 금융회사에 실질적 도움을 주기 위해 마련
□ 「금융분야 제로트러스트 보안 안내서」는 일반적인 개념이나 원리보다는, 금융에 특화된 제로트러스트 구축 예시와 보안 진단 항목 등 실무 중심의 내용으로 구성하여 현장 활용도를 높인 점이 특징
ㅇ 금융권 IT 환경 등을 고려해 ▲재택근무, ▲업무 단말, ▲SaaS, ▲연구・개발, ▲본・지점 간 통신의 5개 네트워크 구간을 제로트러스트 우선 도입 가능 대상으로 보고, 각 구간별 접근통제 모델(ZTNA : Zero Trust Network Access)* 구축 예시를 상세하게 제시
* 제로트러스트 개념을 구체화하여 단말ㆍ사용자의 상태 등을 지속적으로 검증한 후 필요한 내부 자원에만 접근하는 제어 모델
ㅇ 아울러, 금융회사가 제로트러스트 도입 후 안전성을 빠짐없이 검증할 수 있도록 7개 분야 21개 항목으로 구성된 제로트러스트 보안 진단 기준을 함께 제공
[금융권 특화 제로트러스트 보안 진단 기준 구성]
|
분 야 |
내용 |
항목 수 |
|
신원ㆍ사용자 관리 |
사용자, 계정, 권한에 대한 인증 및 검증 여부 |
5개 |
|
단말ㆍ엔트포인트 관리 |
단말 현황 관리 및 단말의 보안 설정 충족 여부 |
3개 |
|
네트워크 |
네트워크 보안기술(은닉, 세분화 등) 적용 확인 |
4개 |
|
애플리케이션 |
애플리케이션 이상행위나 위험 요소 탐지 여부 |
2개 |
|
데이터 |
데이터 접근통제, 암호화 등 확인 |
4개 |
|
가시성 |
사용자 행위, 단말 상태 및 이상행위 탐지 여부 |
2개 |
|
자동화 |
보안정책의 실시간 적용 및 동기화 여부 |
1개 |
|
합계 |
- |
21개 |
□ 금융보안원은 본 안내서 발간을 시작으로 다양한 제로트러스트 도입 예시나 모범사례 등을 지속적으로 수집・분석하여 금융회사에 제공하는 등, 제로트러스트가 포스트 망분리 시대에 핵심 금융보안 모델로 자리매김할 수 있도록 지원할 계획
□ 금융보안원 박상원 원장은 "금융권의 망분리 규제 완화, 클라우드 이용 확대 등으로 금융회사의 내・외부 네트워크 경계(Perimeter)가 갈수록 모호해지고 있다”며,
ㅇ "금융회사는 모든 접속과 행위를 검증하는 제로트러스트 도입을 적극 검토해야 할 시점으로, 본 안내서가 금융회사의 제로트러스트 도입에 실질적인 지침서가 되기를 바란다”고 밝힘. 끝.
※ 「금융분야 제로트러스트 보안 안내서」의 상세 내용은 금융보안 레그테크 포털(regtech.fsec.or.kr)에서 확인 가능