보안

[제로트러스트 시대] ② 단일 보안솔루션으로 불가능…상호 연동 위한 정책 지원 중요해져

김보민 기자

"그 누구도 믿지 말고 검증하라." 올해 보안 시장의 핵심 화두로 '제로 트러스트(Zero Trust)'가 떠올랐다. 주요국은 국가 차원의 원칙과 행정명령을 통해 제로 트러스트를 본격 도입한 상황이다. 그렇다면 한국의 현주소는 어디일까. 한국판 제로 트러스트 추진 상황과, 우려 및 개선 사항을 3편에 걸쳐 살펴본다. <편집자주>

퍼즐 이미지 [ⓒ 픽사베이]
퍼즐 이미지 [ⓒ 픽사베이]

[디지털데일리 김보민기자] 글로벌 정보기술(IT) 시장에서 보안 방법론 '제로 트러스트'가 최대 화두로 떠오른 가운데, 우리 정부 또한 공공·민간용 가이드라인을 마련하는 데 속도를 올리기 시작했다.

다만 갖가지 방식으로 흩어져 있는 포인트 솔루션을 연동할 방안은 아직 구체화되지 않은 상황이다. 제로 트러스트 생태계를 구축하기 위해 제품 간 연동성을 실현하는 것이 필수인 만큼, 국책과제나 정책 차원의 지원이 필요하다는 목소리가 제기되고 있다.

"주력 제품에 제로 트러스트 더하자" 포인트 솔루션

과학기술정보통신부(이하 과기정통부)가 발표한 가이드라인 1.0에 따르면, 제로 트러스트를 구현할 핵심 요인은 ▲식별자 및 신원 ▲기기 및 엔드포인트 ▲네트워크 ▲시스템 ▲응용 및 워크로드 ▲데이터 등 6가지다.

해당 요인을 만족할 수 있는 보안 솔루션이 있어야만 한국판 제로 트러스트를 실현할 수 있다는 취지였다. 중요 사항에 따라 정책은 물론, 운영 및 관리 체계를 구체화해야 한다는 점도 시사했다.

국내 보안 기업들은 글로벌 시장에서 제로 트러스트에 대한 관심이 높아지고 있다는 점을 고려해 최근 몇 년간 포인트 솔루션을 출시하는 데 속도를 올려왔다. 국내 시장이 제로 트러스트를 도입하는 데 소극적이었던 시절부터 관련 연구·개발(R&D)에 역량을 투입한 보안 기업도 적지 않다.

특히 이기종 장비에서 보안 정보를 수집해 분석하는 보안정보 및 이벤트 관리(SIEM), 공격 여부 및 대응 우선순위를 가려내고 자연어로 설명하는 인공지능(AI), 자동 대응을 위한 운영·위협 대응 자동화(SOAR) 관련 솔루션에 제로 트러스트를 통합하는 작업이 이어지고 있다.

대표적으로 이글루코퍼레이션은 '확장형 탐지 조사 대응 인사이츠(XDIR Insights)'를 통해 이러한 통합 체계를 구축하는 데 집중하고 있다. 국내외 주요 파트너와 협업해 엔드포인트, 네트워크, 위협 인텔리전스(TI), 클라우드, 사물인터넷(IoT), 운영기술(OT) 등의 보안 데이터 수집 범위를 넓히는 작업도 진행 중이다.

파수는 플랫폼 기반의 통합 제로 트러스트를 구현하고 있고, 지니언스도 네트워크 접속 등 주요 솔루션에 제로 트러스트를 더하고 있다. 파이오링크는 보안 스위치 기반의 네트워크 보안 기술을 활용해 관련 솔루션을 구축했고, 시큐레터도 콘텐츠 무해화(CDR) 솔루션에 제로 트러스트를 더해 공급을 확대 중이다.

원격근무 환경에 제로 트러스트 아키텍처를 도입한 예시 [ⓒ 제로트러스트 가이드라인 1.0 발췌]
원격근무 환경에 제로 트러스트 아키텍처를 도입한 예시 [ⓒ 제로트러스트 가이드라인 1.0 발췌]

◆ 가장 중요한 '연동성', 퍼즐 끼우기 숙제

다만 좋은 솔루션이 있더라도 제품 간 연동성이 부족하다면 무용지물이라는 지적이 나온다. 추후 범국가 차원의 제로 트러스트 구현이 실현된다면, 그에 상응하는 가이드라인이 필요하다는 의미다.

제로 트러스트는 특정한 단일 보안 솔루션으로 구현할 수 있는 보안 모델이 아니다. 보안 환경 진단을 토대로 조직에 최적화된 구성(아키텍처)를 설계한 뒤, 우선순위에 따라 보안 솔루션을 구축하는 작업이 필요하다. 이후 운영·관리 등 추가적인 작업도 구체화해야 해 상당한 시간이 소요될 수밖에 없다.

덩치가 큰 기업들의 경우 솔루션을 연동하고 통합하는 데 무리가 없지만, 중견·중소기업의 경우 그렇지 않다. 컨설팅부터 솔루션 개발과 구축, 모니터링 및 침해 분석까지 제로 트러스트 환경에 맞춰 구현하려면 많은 인력과 자금이 필요한 상황이다. 이를 통합 지원하는 보안 기업과 합을 맞추면 되지만, 이 또한 지출이 만만치 않은 상황이다.

이러한 상황을 고려했을 때 정부가 제로 트러스트 가이드라인뿐만 아니라, R&D 및 지원 정책을 담은 일종의 국책 과제가 나와야 할 것으로 보인다. 클라우드와 무선 등 제로 트러스트 분야에서 IT 인프라가 부족한 영역을 톺아보고 관련 지원책을 마련해야 할 필요성도 대두되고 있다.

일단 국내 보안 기업들은 민간 차원에서 협력 방안을 모색 중이다.

한국정보보호산업협회(KISIA) 소속 한국제로트러스트위원회(KOZETA)는 제로 트러스트를 확산하기 위해 보안 기업 간 협업을 통한 솔루션 연계가 선행되어야 한다는 점을 강조한 바 있다. 과기정통부는 통합 보안 솔루션과 서비스 모델을 활성화하기 위해 민간 주도형 전략적 협업 추진연대 'K-시큐리티 얼라이언스'를 구성하기도 했다.

제로 트러스트 솔루션을 갖춘 보안 기업의 한 관계자는 "국내에서는 '제로 트러스트' 방법론이 오랜 기간 유행어처럼 떠돌았지만 솔루션 차원에서는 발전 속도가 빨랐던 편"이라며 "정부가 지난해를 기점으로 관심을 기울이고 있는 만큼, 올해 시장 전환이 본격화될 만한 강력한 지원책이 나오기를 기대하는 분위기"라고 말했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널