KISA, 국내 최초 'OT 환경 제로트러스트 적용 안내서' 발표

KISA 전경 / 사진 KISA

한국인터넷진흥원(KISA)이 운영 기술(OT) 환경에 특화된 제로트러스트 적용 방안을 담은 국내 최초 안내서를 22일 발표했다.

제로트러스트는 '절대 신뢰하지 말고, 항상 검증하라'는 원칙으로 네트워크가 이미 침해된 것으로 간주해 접속 요구를 검증하는 보안 개념이다. OT는 산업 설비와 공정을 실시간 제어·운영하는 기술로 전력·교통·에너지 등 국가 주요 인프라의 안정적 운영에 핵심 역할을 한다.

이번 안내서는 리소스·데이터 접근제어를 위한 지속적 인증을 수행하는 기존 정보 기술(IT) 환경과 달리, 산업 현장 장비의 가용성과 실시간성을 요구하는 OT 환경의 특성을 고려한 적용 방안을 제시했다.

안내서는 IT와 OT 네트워크 계층을 구분하는 퍼듀 모델을 포괄하면서, 국내 산업 환경에 맞게 '제로트러스트 가이드라인 2.0'의 6대 핵심요소를 기반으로 요구사항을 제시했다. 핵심 원칙으로 실시간성·가용성 유지, OT 장비 독립성 유지, OT·IT 전역 침해 가정, 지속적 모니터링을 제시했다.

과기정통부와 KISA는 2023년 7월 '제로트러스트 가이드라인 1.0', 2024년 12월 실증사업 결과와 세부 도입 절차를 담은 '2.0'을 잇달아 마련했다. 미국 등 글로벌 선진국도 OT 보안을 중요하게 여기는 만큼, 국내에서도 선제적 실증 연구와 대응 방안 마련을 지속 추진할 예정이다.

이상중 KISA 원장은 "이번 안내서가 국내 OT 보안 인식을 제고하고 산업 현장의 보안 수준을 높이는 데 기여하길 바란다"며 "글로벌 선도국 지침을 참고한 세부내용 고도화 안내서를 지속 개발하겠다"고 말했다.