정보보호학회지 (Review of KIISC)

한국정보보호학회 (Korea Institute of Information Security and Cryptology)
권호 표지

NIST 7 Tenets 기반 제로 트러스트 표준 모델 점검 항목

  • 최여정 (국가보안기술연구소) ;
  • 정윤정 (한남대학교 컴퓨터공학과) ;
  • 이만희 (한남대학교 컴퓨터공학과)
  • Yeo-jeong Choi ;
  • Yun-jeong Jeong ;
  • Man-hee Lee
  • 발행 : 2024.06.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

오늘날 보안 패러다임은 경계 기반 보안 체계에서 제로 트러스트로 변화하고 있다. 이에 NIST는 NIST SP 800-207(Zero Trust Architecture)을 발간하며 제로 트러스트 기본 원칙인 7 Tenets를 제시하였다. 하지만 7 Tenets에 대한 구체적인 구현 및 검증 방안이 부재하여, 제로 트러스트 기술 적용 범위를 정하는 데 어려움을 겪고 있다. 이에 본 논문은 제로 트러스트 제품이 제로 트러스트 표준 모델에 부합하는지 검증할 수 있는 NIST 7 Tenets 기반 점검 항목을 제안한다. 점검항목은 총 59개의 문항으로, 필수적으로 요구되는 필수 기능 28개와 선택적으로 요구되는 선택 기능 31개로구성된다. 수립한 내용에 근거하여 5개의 기업 제품을 검증한 결과, 필수 기능을 모두 만족하는 제품은 없었으며 적용된 제로 트러스트 원칙이 상이함을 확인하였다. 이는 본 논문에서 제안한 점검 항목을 통한 제품의 표준 모델 부합성 검증이 가능함을 보여주며, 향후 국가·공공기관에서의 제로 트러스트 사용 및 유연한 국외 제품 도입 시 활용될 것으로 기대한다.

키워드

Ⅰ. 서론

기존 네트워크는 경계 기반 보안(perimeter security) 솔루션을 이용하여 외부 사용자로부터 네트워크를 보호하였으나[1], 내부 사용자에 의한 보안사고, 새로운 유형의 공격 벡터(attack vector), 권한 탈취 기반 공격 증대 등의 보안 문제가 지속적으로 발생하고 있다. 이처럼 기존 보안 모델을 통한 네트워크 보호가 어려워짐에 다양한 위협 가능성을 고려한 고도화된 보안 모델로 제로 트러스트(zero trust)가 대두되고 있다[2].

제로 트러스트는 위치, 사용 이력과 관계없이 네트워크 및 자원에 접근하는 모든 사용자를 인증한 후 최소 접근 권한만 제공하는 보안 모델이다. MFA(Multi-Factor Authentication), 제로 트러스트 기반의 PIM(Privileged Identity Management), PAM(Privileged Access Management) 등 인증 모듈을 통해 사용자의 이용 환경을 확인하며 공격표면(attack surface)을 축소 시킨다[3][4][5]. 이처럼 비신뢰를 전제로 모든 패킷에 대해 지속적이고 세밀하게 통제하여 네트워크의 안전성을 확보하는 동시에 자원을 보호한다.

이에 미국은 정부 주도하에 제로 트러스트 보안 전략 및 관련 정책을 추진하고 있다[6]. 2021년 5월, 美 바이든 정부는 ‘EO(Executive Order) 14028’을 통해 사이버 보안을 현대화하기 위한 지향점으로 제로 트러스트를 지목하며 연방 정부의 제로 트러스트 도입을 공식화하였다. 이외에도 영국, 일본 등 주요국은 제로 트러스트를 도입하기 위한 국가 차원의 전략을 발표하고 있다. 하지만 제로 트러스트 기능 요구사항에 대한 명확한 기준이 마련되지 않아, 다양한 기업에서 강조하는 제로 트러스트 기술 구현에 대한 사실 여부를 확인하는 데 고충을 겪고 있다. 또한, 제로 트러스트 도입 기관이 구현해야 하는 기술 수준의 범위 역시 모호한 실정이다.

국내 역시, 새로운 보안 체계로 전환하기 위해 제로 트러스트 도입 방법론으로 전망되는 ‘제로 트러스트 가이드라인 2.0’ 공개를 앞두며 국가적 차원의 도입을 추진하고 있다. 또한, 기존 보안 모델 대비 보안성이 41% 향상된 ‘K-제로 트러스트 기본모델’ 2종을 발표하였다. 자체적으로 평가 지표를 생성한 후 보안성을 검토한 것으로, 제로 트러스트 도입과 관련하여 구체적인 기술 평가 기준이 부재한 상황이다. 이에 제로 트러스트 도입에 따른 보안성 검토를 위한 기술적 연구가 필요하다.

제로 트러스트는 국내외를 불문하고 보안분야의 이슈로 자리잡았지만, 기술 도입에 따른 보안성 검토에 대한 연구는 미비하다. 2020년 8월, NIST는 제로 트러스트의 개념 및 원칙이 포함된 ‘NIST 800-207(Zero Trust Architecture)’를 공개하며 ZTA가 포함해야할 기본 원칙 7가지를 제시했다. 하지만 해당 문건 역시 7 Tenets를 구현하기 위한 세부적 구현 방안이 부재하여, 특정 제품이 제로 트러스트를 제대로 구현했는지에 대한 점검 방안으로 사용하기 어려운 상황이다.

본 논문은 NIST가 제시한 7 Tenets를 분석하고, 이를 기반으로 제로 트러스트가 적용된 제품의 주요 기능 및 안전성을 검증하기 위한 점검 항목을 도출하였다. 점검 항목은 총 59개의 문항으로, 필수적으로 요구되는 필수 기능 28개와 선택적으로 요구되는 선택 기능 31개로 구성된다. 수립한 내용에 근거하여 5개의 기업 제품을 검증한 결과, 필수 기능을 모두 만족하는 제품은 없었으며 적용된 제로 트러스트 원칙이 상이함을 확인하였다. 이는 본 논문에서 제안한 점검 항목을 통한 제품의 제로트러스트 표준 모델 부합여부 검증이 가능함을 보여주며, 향후 국가·공공기관에서의 제로 트러스트 사용 및 유연한 국외 제품 도입 시 활용할 것으로 기대한다.

본 논문은 다음과 같이 구성된다. 먼저 2장에서 제로 트러스트에 관한 개념적 지식 및 국내외 사이버 보안 동향에 관해 기술한다. 그 후, 3장에서 NIST에서 제시한 7 Tenets에 관해 설명하며 제로 트러스트 적용 제품의 점검 항목을 제안한다. 4장에서는 제안한 점검 항목에 근거하여 5개 제품에 대해 검증하며 5장에서 결론을 맺는다.

Ⅱ. 배경지식

2.1. 제로 트러스트

제로 트러스트는 비신뢰를 바탕으로 자원에 접근 가능한 사용자나 장치에 대한 신원 및 접근 권한을 증명하는 네트워크 보안 모델이다[7]. ‘보안시스템을 통과하여 IT(Information Technology) 시스템에 접속한 모든 사용자나 단말기는 신뢰하지 않는다.’를 전제로, 이용 환경, 요청 컨텍스트(context) 등 사용자나 장치에 대한 다양한 정보를 수집하여 신원을 확인하고 RBAC(Role-Based Access Control)를 통해 최소한의 권한만 부여한다. 이에 권외 활동을 수행하기 위해서, 사용자는 거듭된 인증 절차를 통해 권한을 획득해야 한다. 즉, 인증을 통한 권한 부여 과정은 이전의 사용 이력과 관계없이 네트워크 및 자원에 접근할 때마다 진행됨을 의미한다. 또한, 보안성 확보를 위해 사용자 신원 확인에 있어 MFA, PIM 및 PAM과 같은 인증 모듈을 사용한다. 더불어 네트워크를 통해 들어오는 모든 패킷을 지속해서 관리하며, 자원에 대해 접근 권한이 부여된 계정의 활동, 세션 로그를 지속적으로 모니터링하여 유효성을 입증한다. 이때 이상 행위가 탐지된 계정은 제공된 권한을 회수하고 접근이 제한된다.

제로 트러스트는 발생 가능한 모든 위험성을 고려하여 IP 별로 접속 시스템 및 서비스의 사용을 통제한다. 개별적인 자원 관리로 보안 위협에 대한 빠른 대응이 가능해졌으며, 이는 기존 네트워크 보안 모델이 지닌 허용된 계정에 대한 특정 서비스, 단말기 제재 불가능의 문제점을 보완하였다[8]. 또한, 인증에 중점을 두어 사이버 위협 차단 정책으로 신뢰 가능한 데이터를 모아놓은 화이트리스트(whitelist)에 기반하여 인가된 사용자 및 장치만 자원에 접근 가능하도록 한다. 하지만, 기존 장비와 네트워크를 재구성함에 따라 구축이 장기화 될 수 있으며, 광범위한 작업 환경으로 다양한 사용자 형태가 등장하여 정책 관리의 어려움이 발생할 수 있다.

2.2. 제로 트러스트 아키텍처

제로 트러스트에 기반 한 ZTA는 기업 내 구성 요소 간의 관계, 워크플로 계획 및 접근 정책을 적용하기 위한 사이버 보안 계획이다[9][10]. PEP(Policy Enforcement Point), PDP(Policy Division Point), PE(Policy Engine), PA(Policy Administrator), 데이터 소스로 구성되며 역할은 다음과 같다.

- PEP : PDP에 요청 전달, 사용자와 자원 사이의 게이트웨이, 네트워크 모니터링

- PDP : 사용자와 기업 자원의 통신 활성화 및 종료 결정

- PA : 사용자와 자원의 통신 경로 설정, 자격 증명 생성

- PE : 사용자의 자원 접근 권한 부여에 대한 최종 결정

- 데이터 소스 : 기업 내 자산 현황

사용자의 접근 권한 획득 과정은 [그림 1]과 같다. 자원에 대한 사용자의 접근 요청은 PEP를 통해 PE와 PA로 구성된 PDP로 전달된다. 이에 PE는 권한 제공 여부를 판단하기 위해 TA(Trust Algorithm) 알고리즘의 입력값인 외부 및 데이터 소스의 가중치를 평가하며 기업 내 상황을 확인한다. TA는 권한 제공에 있어 사용자 및 기업의 자산 현황 등에 대해 평가하는 알고리즘으로, 입력되는 데이터 소스는 CDM(Continuous Diagnostics and Mitigation) 시스템, 산업 규정 준수 시스템, 위협 정보, 행동 로그, 데이터 접근정책, PKI, ID 관리 시스템, SIEM(Security Information and Event Management) 시스템으로 구성된다. PE의 결정에 따라 PA는 사용자와 자원 간의 통신 경로를 설정하고 세션별 자격 증명을 생성한다. 이와 같이 사용자와 자원 간 통신에 대한 결정을 확립한 PDP는 PEP에 전달하여 연결을 활성화하며 업무 수행이 가능하도록 한다.

[그림 1] ZTA의 핵심 구성 요소

ZTA 구현에 있어, PDP는 사용자와 자원 간 통신 설정에 많은 영향을 주며 네트워크의 성능을 좌우한다. 따라서 PA와 PE의 적절한 구성 및 유지관리가 필요하며 보다 안전한 환경에 배치하는 것이 중요하다[11]. 또한, 사용자에 대한 실효성 및 신뢰 수준을 확보하는 것 역시 ZTA 구현의 주요 사항 중 하나이다. 이에 지속적으로 사용자 인증을 수행하고, 최소 권한 제공 및 접근 제어를 충족하여 자원에 대해 세분화된 가시성을 확보해야한다[12].

2.3. 국내외 사이버 보안 동향

2021년 5월, 美 바이든 정부는 솔라윈즈(solarwinds) 공격과 같이 정교해지는 사이버 위협으로 부터 주요 안보 기관을 보호하기 위해 EO 14028을 발표했다[13]. 그 중 ‘Sec. 3. Modernizing Federal Government Cybersecurity.’를 통해 사이버 보안을 현대화하기 위한 지향점으로 ZTA를 지목하며, 명령일로 부터 60일 이내 NIST를 중심으로 ZTA 구현 계획을 수립하고 관련 보고서를 OMB(Office of Management and Budget)와 APNSA(Assistant to the President for National Security Affairs)에 제공할 것을 명시하고 있다. 이에 NIST는 ZTA 개념과 원칙이 제시된 ‘NIST SP 800-207’을 바탕으로 Appgate, Google Cloud, Palo Alto Networks 등 24개의 기업과 함께 시현하였으며, 수립된 제로 트러스트 구현 계획은 ‘NIST SP 1800-35’를 통해 제공하고 있다[14].

또한, 2022년 1월 OMB는 EO 14028에 근거하여 ‘M-22-09 Federal Zero Trust Strategy’을 발행했다[15]. 해당 문서는 전 분야에 걸쳐 미국의 주요 시스템 및 데이터를 보호하기 위해 CISA에서 개발한 ZTMM(Zero Trust Maturity Model)에 기반하여 연방 정부의 ZTA 전략을 제시한다. 정교해지고 있는 피싱(phishing)에 대응하기 위한 방안으로 엔터프라이즈 ID, 접근 제어를 사용하는 MFA를 통해 새로운 접근 제어 규정을 수립하여 ID 시스템을 통합하고, 연방 보안 팀과 데이터 팀이 협력하여 중요 데이터에 대한 접근을 자동으로 탐지 및 차단하기 위한 보안 규칙을 개발할 것을 명시하고 있다. 이에 2024년 연방 회계 연도 말까지 문서에 제시된 구체적인 제로 트러스트 보안 목표를 달성하기 위해 노력하고 있다. 이처럼 미국이 제로 트러스트 표준화를 위해 움직이고 있으며, 이외에도 영국, 일본 등 주요국이 제로 트러스트 도입을 위해 국가 차원의 전략을 발표하고 있다.

한편, 과학기술정보통신부와 한국인터넷진흥원은 ‘제로 트러스트 가이드라인 2.0’(이하 가이드라인 2.0) 공개를 앞두고 있다[16][17]. 제로 트러스트 도입 방법론을 제시하는 데 초점을 둘 것으로 전망되는 문건으로, 앞서 2023년 7월에 발표된 ‘제로 트러스트 가이드라인 1.0’(이하 가이드라인 1.0)을 보완하는 데 주력할 것으로 예상된다. 가이드라인 1.0은 국내 공공기관과 기업을 위해 ZTA의 개념 및 핵심 원리를 정의하였다[18]. 하지만 제로 트러스트 도입을 위한 참조 모델, 도입 검증 방안 등 실질적으로 기업이 적용하기 위한 세부 규정이 부재하였다. 이에 가이드라인 2.0은 수요 기관의 제로 트러스트 도입을 위해 가이드라인 1.0에 대한 의견을 수렴하고, 실증 사업 결과를 반영할 예정이다.

실증 사업 중 하나로, 2023년 12월 과학기술정보통신부와 한국인터넷진흥원은 클라우드, 온프레미스 등 국내 기업망 환경에 적용할 수 있는 ‘K-제로 트러스트 기본모델’ 2종을 발표하였다[19]. 가이드라인 1.0을 준수한 최초의 보안 모델로, 기존 보안 대비 보안성이 41% 향상되었다. 기본모델 2종은 각각 TTA ‘시험인증 서비스’ 및 성숙도 모델 기반 시나리오를 통해 자체 효과성 검증을 수행하였으며, 해당 실증 사업 결과는 가이드라인 2.0에 반영하여 고도화될 예정이다. 하지만 국내의 경우 제로 트러스트 개념 확립 및 도입 초기 단계로, 제로 트러스트 기반 제품의 보안성을 확인하기 위한 직접적 규정 및 평가 지표가 마련되어 있지 않아 자체적으로 평가 지표를 정의하여 진행하고 있는 실정이다.

Ⅲ. 제로 트러스트 적용 제품의 점검 항목

본 절에서는 NIST에서 발간한 ‘NIST SP 800-207’을 통해 ZTA의 기본 원칙인 7 Tenets에 대해 설명하고, 아키텍처 관점에서 요구되는 기능 및 필수 항목을 도출한다. 그 후, 도출한 결과를 바탕으로 제로 트러스트가 적용된 제품의 주요 기능 및 안전성 검증 방법을 수립하며 제품 개발에 대한 점검 항목을 제안한다.

3.1. 수립 요건

NIST는 ‘NIST SP 800-207’을 통해 ZTA가 포함해야하는 제로 트러스트 기본 원칙인 7 Tenets를 제시했다[8][20]. ‘NIST SP 800-207’은 제로 트러스트를 이용하여 기업의 보안 아키택처를 개선하기 위한 사이버 보안 지침서로, 7 Tenets는 [표 1]과 같다.

[표 1] 제안된 점검 항목

본 원칙은 ZTA 설계 시 필수로 요구되는 구현 요소가 아니므로, 일부만을 적용한 제품 개발이 가능하다. 이에 국외 기업은 해당 원칙을 바탕으로 제로 트러스트 기반 CASB(Cloud Access Security Broker), SASE(Secure Access Service Edge), SD-WAN (Software-Defined WAN), SDP(Software Defined Perimeter), SWG(Secure Web Gateway) 등 다양한 제품을 생산하고 있다. 하지만 제품 공정 과정에서의 지침서 준수 여부와 평가 과정에서의 공정성을 확인하기 위한 명확한 가이드라인이 존재하지 않아 기술 도입은 어려운 상황이다. 또한 국내의 경우, 제로 트러스트 가이드라인이 제공되고 있으나 ZTA 개념 확립에 중점을 두어 제품의 안전성 확인을 위한 구체적인 방안이 부족한 실정이다. 따라서 유연한 국외 기술 도입과 국내 제품에 대한 구체적이고 기술적인 안전성 검증을 위해 7 Tenets에 근거하여 제로 트러스트가 적용된 제품 검증 방법을 수립한다.

3.2. 점검 항목

앞서 설명한 7 Tenets를 기반으로 도출한 점검 항목은 [표 1]과 같다. 기본 원칙에 근거하여 세부적인 기능 및 관리 프로세스의 요구사항을 정의한 것으로 통신 관련 보안 정책, 사용자 인증 및 권한 제공, 트랜잭션 중 사용자 및 리소스 모니터링 등에 대해 확인한다. 점검 항목은 총 59개의 문항으로 구성되며, 28개의 필수 기능과 31개의 선택 기능으로 구분된다. 필수 기능은 각 원칙의 대표 내용에 기반 한 문항으로, 제품 검증 시 필수로 요구되며 진한 글씨로 표기하였다. 선택 기능은 각 원칙의 세부 내용에 기반을 둔 문항이며 제품 검증 시 필수가 아닌 선택 사항으로 구분된다.

Ⅳ. 제로 트러스트 적용 제품 분석

4.1. 제품 선정 및 분석 방법

본 논문에서 제안한 점검 항목의 실효성을 확인하기 위한 제품 검증은 3개의 국외 제품과 2개의 국내 제품으로 수행된다. 국외의 경우 제로 트러스트 사이버 보안 기업 Top 10에 선정된 기업의 제품 중 3개, 국내 기업 제품 2개를 선정했다.

제품을 검증하기 위해선 먼저 작동 방식 및 주요 기능을 파악해야한다. 이에 기업에서 발간한 제품 설명서 및 연구 보고서 등을 통해 정보를 수집하였다. 해당 자료는 제품 검증에 있어 중요한 평가 자료로, 이후 제안한 점검 항목[표 1]에 근거하여 기능의 유무를 확인한다. 모든 항목을 만족할 경우 1점, 일부만 만족하는 경우 0.5점, 만족하지 않은 경우 0점으로 평가한다.

4.2. 검증 결과

앞서 수집한 5개 제품에 대한 안전성 검증을 수행하였다. [표 2]는 제품별 검증 결과로, 결과표의 카테고리는 기업별 제품명을 의미하며 각 문항에 대한 만족도를 나타낸다. 본 검증은 수집한 기업의 제품 기능 및 작동 방식이 정확하다는 가정하에 수행하였다.

[표 2] 기업별 제품 평가

검증 결과, 제품별 만족도는 A 제품 24개, B 제품 29.5개, C 제품 15.5개, D 제품 20.5개, E 제품 31개임을 확인하였다. 59개의 점검 항목을 모두 만족하는 제품은 없었으며 필수 기능을 모두 만족하는 제품 역시 없었다. 본 논문에서 제안한 점검 항목은 제품별로 적용되는 제로 트러스트 원칙이 상이함을 확인하며 그 실효성을 증명하였다.

Ⅴ. 결론

본 논문은 제로 트러스트가 적용된 제품의 제로 트러스트 표준 모델 부합성 검증을 위한 점검 항목을 제안하였다. 기존 네트워크 보안 시스템은 광범위한 작업 공간으로 자원의 접근 경로가 다양해짐에 따라 새로운 보안 취약점이 등장하고 있지만, 제로 트러스트는 비신뢰를 기반으로 공격 표면을 축소시켜 네트워크 및 기업 자원에 대한 안전성을 확보한다. 이에 제로 트러스트 적용 제품에 대한 국내 점검 항목으로 NIST 지침서 기반의 기능 요구사항 및 필수 가정을 도출하였다. 또한, 도출한 점검 항목에 근거하여 5개의 제로 트러스트 제품 검증을 진행했다. 검증 결과, 필수 기능을 모두 만족하는 제품은 없었으며, 제품별로 적용되는 제로 트러스트 원칙이 상이함을 확인할 수 있었다. 이를 통해 본 논문에서 제안한 점검 항목의 실효성을 입증하였다.

본 연구를 통해 제로 트러스트 보안 모델의 개념을 확립하고 보안 침해 요소를 파악하여 제품의 안전성 검증에 기여할 것으로 예상한다. 또한, 향상된 보안을 제공함에 따라 향후 국가·공공기관의 제로 트러스트가 적용된 제품 도입이 가능해질 것으로 기대된다. 더불어 7 Tenets에 기반함에 국외 제품의 유연한 도입이 가능할 것으로 예상한다.

참고문헌

  1. GETVOIP, "What is VoIP VPN? Benefits, Top Providers, and More," Aug. 2021, https://getvoip.com/blog/voip-vpn/.
  2. Vasu Jakkal, "Zero Trust Adoption Report," Microsoft Security, Jul. 2021.
  3. jumpcloud, "What Role Does Multi-Factor Authentication Play in a Zero Trust Security Model?," Oct. 2021, https://jumpcloud.com/blog/mfa-role-zero-trust-security-model.
  4. Delinea, "What is Zero Trust and Zero Trust Extended (ZTX)?," https://delinea.com/what-is/zero-trust-and-zero-trust-extended.
  5. John Kindervag, "No More Chewy Centers: The Zero Trust Model Of Information Security," Forrester, Mar. 2016.
  6. 강은수, "제로트러스트(Zero Trust), 새로운 보안 패러다임으로의 전환", 국회입법조사처, Apr. 2024.
  7. Akamai, "What is Zero Trust?," https://www.akamai.com/our-thinking/zero-trust/zero-trust-securit y-model.
  8. SAMSUNG SDS, "다시 주목 받고 있는 기업 보안의 패러다임, 제로 트러스트," Jun. 2021, https://www.samsungsds.com/kr/insights/zero_trust.html.
  9. National Institute of Standards and Technology, "Zero Trust Architecture," NIST SP 800-207, Aug. 2020.
  10. Genians, "제로트러스트(Zero Trust)의 올바른 이해," https://www.genians.co.kr/blog/zt.
  11. Ekran, "Zero Trust Architecture: Key Principles, Components, Pros, and Cons,", Jul. 2024, https://www.ekransystem.com/en/blog/zero-trust-security-model.
  12. Songpon Teerakanok, Tetsutaro Uehara, Atsuo Inomata, "Migrating to Zero Trust Architecture: Reviews and Challenges," Hindawi, May. 2021.
  13. White House, "Executive Order on Improving the Nation's Cybersecurity," May. 2021.
  14. National Institute of Standards and Technology, "Implementing a Zero Trust Architecture," NIST SP 1800-35, Dec. 2022.
  15. OFFICE OF MANAGEMENT AND BUDGET, "Federal Zero Trust Strategy," M-22-09, Jan. 2022.
  16. 전자신문, "[K-제로 트러스트] "가이드라인 2.0은 제로 트러스트 도입 안내서"", Mar. 2024, https://www.etnews.com/20240314000045
  17. 디지털데일리, "제로트러스트 가이드라인 2.0 밑그림 나왔다..." 도입 방법론제시, Apr. 2024, https://m.ddaily.co.kr/page/view/2024042416540862821
  18. 과학기술정보통신부, "제로트러스트 가이드라인 1.0," Jun. 2023.
  19. 전자신문, "과기정통부, 'K-제로트러스트모델' 발표...보안성 41%↑", Dec. 2023, https://www.etnews.com/20231211000208
  20. National Institute of Standards and Technology, "제로 트러스트 아키텍처," NIST SP 800-207, Jul. 2021.