□ 정부는 디지털 정보보안 ‘K-제로 트러스트’ 가이드라인을 발표하며 인증체계 강화

ㅇ 과기정통부는 2022년 10월 국내 산･학･연･관 전문가로 구성된 ‘제로 트러스트 포럼’을 구성 후, 미국･유럽･일본 등 동향 분석･자료검토･토론회 등을 통해 의견을 수렴하여 국내 환경에 적합한 ‘제로 트러스트 가이드라인 1.0’ 마련(7.9.)

- 모바일･IoT 기기, 클라우드 기반의 원격･재택근무 환경이 조성되고 COVID-19로 비대면 사회가 가속화됨에 따라 전통적으로 네트워크 내･외부 경계를 구분하고 내부자에게 암묵적 신뢰를 부여하는 기존 경계 기반 보안 모델은 한계에 도달해 새로운 보안 모델로 전환이 필요하다고 판단

- 제로 트러스트 가이드라인 1.0은 ‘절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)’는 제로 트러스트의 기본 철학과 보안 원리, 핵심을 포함

- 제로 트러스트 보안모델은 제로 트러스트 보안 개념을 토대로 서버･컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리･보호하며 이를 통해 하나의 자원이 해킹되었다고 하더라도 인근 자원은 보호할 수 있으며 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디･비밀번호 외에도 다양한 정보를 이용해 인증하는 방식으로 보안 수준을 향상

□ 한국형 제로 트러스트 핵심은 ‘신뢰인증･초세분화･SDP(소프트웨어 정의 경계)’

ㅇ 제로 트러스트 가이드라인 1.0은 제로 트러스트의 기본개념과 보안원리, 제로 트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시

- 제로 트러스트 핵심 원칙에는 △강화된 인증(아이디･패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함) △마이크로 세그멘테이션(서버･컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리) △소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리･보호할 수 있는 경계를 만들 수 있어야 함) 등의 내용이 포함

□ 국내 고용정보 사이트에서 개인정보 유출이 발생, 각별한 주의가 필요

ㅇ 고용노동부 산하기관인 한국고용정보원이 운영하는 취업 정보 사이트 ‘워크넷(WorkNet)’에 중국 등 해외 IP 28개가 무단으로 접속해 구직자의 개인정보가 유출된 것으로 확인(7.6.)

- 이번 공격은 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 이용자를 주 타깃으로 다른 곳에서 수집한 사용자의 아이디와 패스워드를 워크넷에 무작위로 대입해 로그인을 시도하는 ‘크리덴셜 스터핑*(Credential stuffing)’으로 추정

* 공격자가 여러 가지의 경로로 수집한 사용자들의 로그인 인증 정보(Credential)를 다른 사이트의 계정 정보에 마구 대입(Stuffing)하는 공격 방식

- 유출정보는 워크넷 이력서 기재 항목인 성명･성별･출생년도･주소･일반전화･휴대전화･학력･이메일･경력･주요활동 및 수상경력･증명사진 등

- 고용정보원은 해외 IP가 무단 접속한 사실을 확인한 즉시 공격 의심 IP의 접근을 차단하고 개인정보보호위원회에 신고하였으며 회원들이 워크넷에 로그인할 때 기존 비밀번호를 변경하도록 하고 보안을 강화하기 위해 로그인 시 아이디와 비밀번호 외 이름을 추가 입력하도록 조치

- 또한, 개인정보 유출 피해자에게 카카오톡･문자메시지･이메일을 통해 피해 사실을 고지하였으며 이번 사건과 관련한 별도 민원 대응팀도 구성

- 한편, 이번 해킹 사고는 여러 웹사이트에서 동일한 아이디와 비밀번호를 사용하는 경우가 많기 때문에 워크넷처럼 다른 사이트도 해킹 대상이 될 수 있어 주의 필요