한국인터넷진흥원(KISA)은 '운영 기술(OT) 환경의 제로트러스트 적용 안내서'를 발표하고 산업 현장의 특성을 반영한 새로운 보안 적용 방향을 제시했다고 22일 밝혔다. 전력·교통·에너지 등 국가 핵심 인프라를 제어하는 OT 환경에 제로트러스트 개념을 체계적으로 적용한 가이드는 이번이 처음이다.
제로트러스트는 네트워크가 이미 침해됐다는 가정 아래 모든 접속을 지속적으로 검증하는 보안 모델이다. 다만 실시간성과 가용성이 핵심인 OT 환경에서는 기존 정보기술(IT) 중심의 제로트러스트 모델을 그대로 적용하기 어렵다는 한계가 있었다.
이번 안내서는 이러한 특성을 고려해 OT 장비의 안정적 운영을 전제로 한 제로트러스트 적용 방안을 제시했다. IT 환경에서 강조되는 빈번한 인증·검증 방식과 달리 산업 현장의 실시간 제어 특성을 훼손하지 않으면서도 침해를 가정한 보안 체계를 구축하는 데 초점을 맞췄다.
KISA는 안내서에서 IT·OT 네트워크를 계층적으로 구분하는 퍼듀(Purdue) 모델을 포괄하고, '제로트러스트 가이드라인 2.0'의 6대 핵심 요소를 국내 산업 환경에 맞게 재구성했다. 이를 기반으로 OT 환경에 필요한 제로트러스트 요구사항을 제시하고, 향후 단계별 성숙도 모델로 발전시킨다는 계획이다.
OT 특화 제로트러스트의 핵심 원칙으로는 ▲실시간성과 가용성 유지 ▲OT 장비의 독립성 확보 ▲IT·OT 전 영역에서의 침해 가정 ▲지속적 모니터링 등이 제시됐다. 산업 설비의 안정적 운영을 전제로 하되, 사이버 공격 가능성을 상시 고려하는 구조다.
KISA는 미국 등 주요 국가들이 OT 보안을 국가 차원의 과제로 다루고 있는 만큼, 국내에서도 제도 보완과 실증 연구를 통해 선제적인 대응 체계를 구축해 나간다는 방침이다. 해당 안내서는 KISA 누리집 지식플랫폼 내 '법령·가이드라인' 메뉴에서 확인할 수 있다.
이상중 KISA 원장은 "이번 안내서가 국내 산업 현장의 OT 보안 인식을 높이고 보안 수준을 한 단계 끌어올리는 계기가 되길 바란다"며 "OT 환경에 특화된 제로트러스트 적용 필요성과 방법론을 정립한 만큼, 글로벌 선도국 지침을 참고해 세부 내용을 지속 고도화해 나가겠다"고 말했다.