보안

[NSIS 2024⑥] 한국형 제로트러스트 모델, 어디까지 왔나?

김보민 기자

<디지털데일리>가 주최하는 차세대 보안 혁신 서밋 [NSIS 2024]가 오는 5월28일 서울 소공동 롯데호텔 사파이어볼룸에서 열립니다. 이번 행사의 주제는 ‘안전한 인공지능(AI) 시대를 위한 사이버보안 전략 및 방안’으로, 최신의 기술을 활용해 디지털 환경 보안을 강화하는 다양한 솔루션과 방법론을 논의하는 자리를 마련했습니다. 혁신 기술 등장은 보안 취약점을 확대시킬 수 있는 만큼, 디지털 기반 기술과 환경 변화에 따라 공공‧금융‧기업은 효과적인 보안 전략을 강구해야 합니다. 이에 <디지털데일리>는 행사에 앞서, AI시대 새로운 보안 동향과 기업 전략을 조망하는 기획기사를 연재합니다. <편집자주>

[ⓒ 픽사베이]
[ⓒ 픽사베이]

[디지털데일리 김보민기자] '그 누구도 믿지 말고 경계하라'.

올해 사이버보안 업계가 주목하는 키워드는 제로트러스트(Zero Trust)다. 2010년 존 킨더백 포레스터리서치 수석 애널리스트가 제안한 이 개념은 기존 경계형 보안 모델의 한계를 딛는 데 초점을 맞추고 있다. 과거에는 내부와 외부로 나눠 보안 체계를 갖췄다면, 이제는 그 경계를 허물고 위협이 발생할 수 있는 구간마다 보안 체계를 갖추는 것이 효과적인 방법이라는 데 힘이 실리고 있다.

특히 신종 코로나바이러스 감염증(코로나19) 이후 원격 근무가 보편화되면서 제로트러스트 보안 모델을 적용해야 한다는 목소리가 커지고 있다. 모바일은 물론 사물인터넷(IoT)부터 클라우드까지 디지털 환경이 다양해진 탓에 전통적인 보안 체계가 통하지 않게 된 것이다. 국가 배후 사이버 공격도 교묘해지고 있고, 내부 직원이 위협을 가하는 사례 또한 늘고 있어 전방위적인 대응 태세가 필요해졌다.

상황이 이렇게 흘러가자 주요국은 제로트러스트 정책과 가이드라인을 마련하기 시작했다. 영국, 일본, 중국 등이 발 빠르게 움직이고 있는데, 그 중 단연 미국의 약진이 두드러지고 있다.

미국 연방정부는 국립표준기술원(NIST)를 필두로 2019년 관련 프로젝트를 추진했고, 이듬해 제로트러스트 아키텍처를 공개했다. 이후 미국표 제로트러스트는 급물살을 탔다. 바이든 미 행정부는 2021년 행정명령을 통해 연방정부 차원에서 제로트러스트 모델을 채택해야 한다는 점을 명시했다.

다른 주요국도 제로트러스트 대응책을 마련 중이다. 영국은 국가사이버보안센터(NCSC)를 중심으로 제로트러스트 아키텍처 설계 원칙을 제시했고, 일본은 정부 정보시스템에 제로트러스트를 적용하기 위한 사고방식을 도입하며 구현에 속도를 올리고 있다. 과거 '유행어'처럼 떠돌던 제로트러스트가 점차 윤곽을 잡아가는 분위기다.

'사이버 안보'를 강화하겠다는 의지를 내비친 한국도 제로트러스트 행렬에 올라탔다. 과학기술정보통신부(이하 과기정통부)는 2022년 한국제로트러스트포럼을 발족했고 지난해 한국형 가이드라인 1.0을 발표했다. 가이드라인 1.0은 민간 기업이 제로트러스트라는 개념을 이해하도록 돕고, 관련 기반 원칙을 수립하는 데 초점을 뒀다. 핵심 원칙으로는 인증 체계 강화, 초세분화(마이크로세그멘테이션), 소프트웨어 정의 경계 등을 명시했다. 최근 주요 보안 기업들 또한 이 가이드라인에 발맞춰 관련 솔루션과 서비스를 출시하고 있다.

가이드라인 2.0도 연중 베일을 벗는다. 가이드라인 1.0이 나왔지만 실제 제로트러스트 모델을 도입하는 방법을 '100%' 이해했다고 말하는 기업이 많지 않았던 탓이다. 실제 가이드라인이 배포된 지 약 1년이 지났지만, 실제 이를 도입해 실현한 기업은 많지 않다.

이에 가이드라인 2.0은 국내 제로트러스트 도입 참조 모델과 검증 방안을 소개하는 데 집중한다. 클라우드와 내부 구축형(온프레미스)에 특화된 제로트러스트 모델도 함께 소개될 전망이다. 공개 예상 시점은 9월이다. 국가정보원(이하 국정원)도 공공에 특화된 제로트러스트 기준을 선보일 예정이다.

일각에서는 제로트러스트가 국가 안보 사안으로 떠오른 만큼 실효성 있는 정책과 가이드라인이 나와야 한다는 목소리도 제기된다. 정부는 미국과 사이버안보 고위급 회의를 개최하며 제로트러스트 표준 개발이 필요하다는 데 공감대를 표한 바 있다. 지난해 관련 실증사업을 진행했고 국내 기업 환경에 적용할 수 있는 기본모델을 소개하기도 했다. 올해에도 제로트러스트를 확산하자는 취지로 예산 62억원을 확보했다. 예산은 모델 지원, 개발, 도입 전략 마련 등에 쓰인다.

민간 차원에서도 협력이 이어지고 있다. 일례로 한국정보보호산업협회(KISIA)가 발족한 한국제로트러스트위원회(KOZETA)는 실증사업, 상호운용, 정책제도 등 3개 분과를 중심으로 활동을 이어가고 있다. 제로트러스트 실증사업 컨소시엄을 구성해 보안 모델 구축 등 주요 논의를 추진하는 것이 핵심이다. 제로트러스트 모델을 구현하기 위해 솔루션 및 서비스 간 상호 운용성을 확보하는 것이 핵심인 만큼, 연동 확산 기반을 마련하는 데에도 집중하고 있다.

민간 기업이 주도하는 협의체도 등장했다. SK쉴더스가 발족해 10개사가 참여한 '제티아(ZETIA·ZEro Trust Initiative Alliance)'가 대표적이다. 제티아는 제로트러스트 5대 영역인 ID/인증, 마이크로세그멘테이션, 소프트웨어정의경계(SDP), 로그수집 및 분석, 인공지능(AI) 이상징후 분석에 초점을 맞춘다. 협의체는 동향 보고서를 발간하고 공동 마케팅 활동을 추진할 예정이다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널