개요
미국 국방부(DoD)는 제로트러스트 전략을 구현하는 과정에서 정보시스템에 적용 가능한 세부 보안 통제를 정의하기 위해 DoD Zero Trust Overlays v1.1을 발표하였습니다. 본 문서는 NIST SP 800-53, DoD RMF, Zero Trust Pillars 간의 통제를 연계하여, 시스템·데이터·사용자·네트워크에 걸친 보안정책의 구현 일관성을 보장하기 위한 실무 지침서입니다. 실질적인 보안 설계, 감사, 인증 작업에 활용되며, 연방 표준을 DoD 환경에 맞게 정렬하는 데 핵심 역할을 합니다.
1. 개념 및 정의
DoD Zero Trust Overlays는 제로트러스트 구현에 필요한 기능·정책·통제를 기준화한 문서로, NIST SP 800-53 Rev.5의 보안 컨트롤을 기반으로 ZT Pillar에 따라 적용 우선순위, 수준, 책임 주체 등을 정의합니다. 이를 통해 시스템 설계자는 ZT 정책 기반의 보안요구사항 명세(SRD) 를 효율적으로 구성할 수 있습니다.
v1.1은 COA 1과 연계되며, 각 보안 컨트롤의 적용 수준과 Pillar 간 중첩 영향도까지 포함한 점이 특징입니다.
2. 특징
| 항목 | 설명 | 비고 |
| ZT Pillar 정렬 | 사용자·디바이스·네트워크 등 7개 축으로 컨트롤 분류 | 실행 로드맵 기준과 정렬됨 |
| NIST RMF 연계 | NIST SP 800-53 컨트롤 기반 자동 대응 | ATO 절차 지원 |
| 통제 우선순위 지정 | 기본/선택/확장 컨트롤로 구분 | COA 1의 최소 기능 세트 반영 |
Overlays는 보안 설계자와 감사자 모두가 사용하는 ‘보안 구현 언어’로 기능합니다.
3. 구성 요소
| 구성 요소 | 설명 | 예시 |
| ZT Pillar Mapping | 각 보안 컨트롤을 해당 Pillar와 연결 | AC-2 → User Pillar |
| Control Tiering | 통제를 중요도별로 분류 | Tier 0~2: 필수 → 권장 |
| 적용 지침(Applicability) | 컨트롤 적용 대상과 범위 정의 | ‘Cloud-based System’, ‘Hybrid Network’ 구분 |
| Implementation Guidance | 실무 구현 방법 상세 기술 | DoD ICAM, EDR 통합 사례 |
Overlays는 보안 기능 구성 시 정책적 기준과 기술적 구성을 잇는 ‘중간 문서’ 역할을 수행합니다.
4. 기술 요소 및 연계 체계
| 연계 요소 | 설명 | 관련 도구 및 문서 |
| RMF Control Sets | DoD RMF 보안 요구사항과 연계 | RMF Step 3~6 문서화 연동 |
| ICAM/EDR 통합 | 신원 및 단말 기반 통제 적용 | DISA ICAM, HBSS/Huntsman |
| 자동화 평가도구 | SCAP 기반 컨트롤 검증 | ACAS, STIG Viewer |
| COA 연계성 | COA 1의 기능 통제와 직접 정렬 | Capabilities ID 포함 |
이를 통해 보안 정책과 시스템 구성 사이의 ‘실행 간극’을 줄이고, 보안 구현의 일관성을 확보할 수 있습니다.
5. 장점 및 기대 효과
| 항목 | 기대 효과 | 설명 |
| 표준 정렬성 향상 | NIST, DoD 기준 간 구조 정합성 확보 | 보안 프레임워크 통일성 강화 |
| 설계 효율성 제고 | ZT 기반 요구사항 정의 간소화 | 중복 통제 제거 가능 |
| 감사 대응력 강화 | ATO 준비 및 보안 평가 간소화 | 감리·검증 절차 수월화 |
Overlays는 DevSecOps 환경에서도 재사용성과 자동화 가능성이 높아 실무 적용성이 뛰어납니다.
6. 주요 활용 사례 및 고려사항
| 분야 | 활용 사례 | 고려사항 |
| 국방 시스템 보안 설계 | 무기체계 및 지휘통제 시스템의 SRD 설계 | 보안 등급별 적용 기준 정비 필요 |
| 연방기관 클라우드 | FedRAMP 대응 SaaS 보안 정책 구성 | 클라우드 특화 ZT 적용 필요 |
| DevSecOps 환경 | CI/CD 파이프라인에 컨트롤 자동 삽입 | STIG·SCAP 기반 자동 검사 연계 |
활용 시 보안 책임(RACI) 명세와 함께, 시스템 생명주기별 통제 검토 체계를 갖추는 것이 중요합니다.
7. 결론
DoD Zero Trust Overlays v1.1은 전략이 아닌 ‘실행 문서’로서, ZT 전략과 기술 구현 사이의 간극을 메우는 핵심 가이드입니다. 정형화된 보안 통제 기준은 조직 간 협업을 가능하게 하고, 감사 및 인증의 일관성을 확보합니다. 디지털 자산이 급증하고 있는 현대 국방 및 공공 환경에서, 이러한 Overlay 기반 접근법은 민간기관에도 점차 확산될 것으로 기대됩니다.
'Topic' 카테고리의 다른 글
| Graph Neural Network (GNN) (0) | 2025.04.06 |
|---|---|
| NIST Special Publication 800-53 Rev. 5 (1) | 2025.04.06 |
| DoD Zero Trust Capability Execution Roadmap - COA 1 (국방부 제로트러스트 구현을 위한 실행 로드맵 1단계 전략) (0) | 2025.04.06 |
| DoD Zero Trust Strategy (미국 국방부의 사이버 보안 패러다임 전환 전략) (0) | 2025.04.06 |
| DoD Zero Trust Reference Architecture v2.0 (미국 국방부의 차세대 사이버 보안 전략) (0) | 2025.04.05 |