개요
미국 국방부(DoD)는 제로트러스트(ZT) 전략의 실행력을 높이기 위해 ‘Zero Trust Capability Execution Roadmap’을 수립하고, 1단계 실행안인 COA 1 (Course of Action 1) 을 발표하였습니다. COA 1은 2027년까지 DoD 전체 조직이 ‘Zero Trust Target Level’에 도달하기 위한 최소한의 보안 기능 및 구현 기준을 제시하는 실질적 이행 계획입니다. 이 로드맵은 전략적 목표를 실현하기 위한 핵심 프레임워크로, 기술적 실행뿐 아니라 인적, 정책적 요소까지 포함하고 있습니다.
1. 개념 및 정의
COA 1은 Zero Trust Strategy의 전사적 적용을 위한 최소 기능 세트(Minimum Viable Capabilities) 를 기반으로 설계되었습니다. 총 152개의 세부 기능 중 91개가 COA 1의 범위에 해당되며, 이를 통해 조직은 ‘ZT 성숙도 기반 구조’를 달성하게 됩니다. 이 실행안은 사용자·디바이스·네트워크·데이터·워크로드·가시성·자동화 7개 Pillar 기반으로 구체화됩니다.
COA 1은 각 기관이 ZT를 도입하기 위한 기준점이자 공통 언어로 사용됩니다.
2. 특징
| 항목 | 설명 | 비고 |
| 목표 지향 실행 | 전략보다 구체적인 실행 기준 제시 | 정량적 평가 가능 |
| 표준화된 ZT 기능 정의 | 91개 기능, 7개 Pillar로 세분화 | 민·군 공통 적용 가능 |
| 전환 로드맵 중심 | 단계적 도입으로 비용·리스크 최소화 | 레거시와 병행 운영 가능 |
COA 1은 단기간에 모든 기능을 완전 이행하는 것을 목표로 하지 않고, 각 조직의 현실에 맞게 적용할 수 있도록 유연성을 제공합니다.
3. 구성 요소 (7대 Zero Trust Pillar 기준 기능군)
| Pillar | 주요 기능 예시 | 도입 기술 |
| 사용자(User) | MFA, 사용자 인증 정책, 행동 기반 인증 | Okta, PingID, DoD ICAM |
| 디바이스(Device) | EDR, 기기 등록, 보안 상태 점검 | CrowdStrike, Tanium |
| 네트워크(Network) | 암호화 터널, 마이크로 세그먼트 | ZTNA, SD-WAN |
| 애플리케이션(Workload) | CI/CD 보안, API 접근 제어 | DevSecOps, SBOM 관리 |
| 데이터(Data) | 데이터 분류, 정책 기반 암호화 | DLP, Thales |
| 가시성/분석(Visibility) | 로그 수집, 보안 이벤트 상관 분석 | SIEM, UEBA |
| 자동화/오케스트레이션 | 정책 자동화, 자동 대응 | SOAR, Ansible |
각 기능은 ‘달성여부’, ‘적용범위’, ‘위험대응 우선도’ 기준으로 평가됩니다.
4. 기술 요소 및 연계 구조
| 기술 요소 | 설명 | 연계 전략 |
| Capability Mapping | 기능별 기술 도구 매핑 가이드 제공 | 상업 솔루션과 상호운용 가능 |
| 엔터프라이즈 레퍼런스 | 공통 구조 기반 설계 표준화 | 부처별 확장성 확보 |
| 정책 프레임워크 | CISA ZTA, NIST 800-207 연계 | 연방 정책과 호환성 유지 |
COA 1은 상업 기술 도입을 적극 활용하며, 특정 벤더에 종속되지 않도록 유연한 기준을 제공합니다.
5. 기대 효과 및 장점
| 항목 | 기대 효과 | 설명 |
| 실행 가시성 | 각 기능의 구현 상태 추적 가능 | 성숙도 측정 기반 보고 가능 |
| 단계적 이행 | 조직별 현실에 맞는 도입 가능 | 예산·리소스 계획 수립 용이 |
| 국방 연계성 강화 | 연합군 및 기관 간 보안 연동 기반 확보 | 연동 인증 체계 구축 기반 |
COA 1은 사이버 방어 작전 수행에 있어 가장 기초적이며 동시에 가장 필수적인 기준점입니다.
6. 고려사항 및 도입 시 유의점
| 항목 | 내용 | 대응 방안 |
| 레거시 연동 이슈 | 기존 시스템과의 호환성 제한 | API 기반 인터페이스 적용 권장 |
| 조직별 역량 차이 | 기술 숙련도 및 인력 격차 존재 | 교육, 훈련, 리더십 강화 필요 |
| 데이터 거버넌스 미비 | 민감 데이터 식별 및 분류 체계 부재 | 데이터 정책 우선 정비 필요 |
기관별로 선제적 분석 및 전환 전략 수립이 중요합니다.
7. 결론
DoD의 Zero Trust Capability Execution Roadmap 중 COA 1은 전략을 실행 가능하게 만든 로드맵으로, 실제 조직 내 제로트러스트 적용을 위한 현실적 가이드를 제공합니다. 사이버 탄력성, 연합 대응력, 정책 기반 통제를 목표로 하는 기관이라면, COA 1은 매우 유용한 참조 모델입니다. COA 2에서는 고도화된 자율 보안과 AI 기반 정책 자동화까지 확장될 예정이며, 민간 부문에서도 벤치마킹 가치가 큽니다.
'Topic' 카테고리의 다른 글
| NIST Special Publication 800-53 Rev. 5 (1) | 2025.04.06 |
|---|---|
| DoD Zero Trust Overlays - v1.1 (국방부 정보시스템을 위한 보안 컨트롤의 정렬 및 통합 가이드) (0) | 2025.04.06 |
| DoD Zero Trust Strategy (미국 국방부의 사이버 보안 패러다임 전환 전략) (0) | 2025.04.06 |
| DoD Zero Trust Reference Architecture v2.0 (미국 국방부의 차세대 사이버 보안 전략) (0) | 2025.04.05 |
| 오버레이 네트워크(Overlay Network) (0) | 2025.04.05 |