[디지털데일리 김보민기자] 윤석열 정부 출범 이후 신(新) 보안체계를 수립하려는 움직임이 본격화됐다. 그간 유행어처럼 떠돌던 제로트러스트 보안에 대한 국내 정의가 내려졌고, 최근에는 소프트웨어(SW) 공급망 보안에도 첫발을 내딛는 데 성공했다.

하지만 보안업계에서는 "갈 길이 멀다"는 평가가 나온다. 실제 시장이 체감할 만큼 새 보안체계에 대한 인식이 무르익지 못했다는 이유에서다. 윤 정부의 인재 양성 정책 또한 화이트해커와 같은 특수 영역에만 집중되고 있어, 업계에 지속 가능한 성장을 이끌어낼 수 있을지 지켜볼 부분이다.

17일 과학기술정보통신부(이하 과기정통부)는 윤석열 정부 출범 후 2년6개월 동안 달성한 과학기술 및 디지털 분야 성과를 발표했다. 국정과제 목록 중 '디지털 인프라 혁신, 민생안정'에는 주요 성과로 '신뢰할 수 있는 디지털 안전 확보'가 포함됐다.

디지털 안전을 확보한 전력 중 하나로는 신 보안체계를 언급했다. 과기정통부는 "사이버보안 기업을 육성하기 위해 (전용) 펀드를 조성하고, 패러다임 전환에 대응해 신 보안체계 도입과 확산을 지원했다"고 설명했다.

윤 정부가 출범한 이후 국내에 두각을 드러난 보안체계로는 제로트러스트가 있다. 제로트러스트는 '누구도 믿지 말고 경계하라'는 인식을 전제로 한 보안 방법론으로, 외부뿐만 아니라 내부에서도 위협이 발생할 수 있다고 보는 것이 핵심이다. 기존에는 네트워크 관점에서 탈경계가 필요하다는 일종의 철학에 그쳤지만, 지금은 사이버 공격에 대응하고 데이터 중심 보안 전략을 구축하기 위한 방법으로도 여겨지고 있다.

그 일환으로 정부는 2023년 7월 국내 첫 제로트러스트 가이드라인을 발표했다. 가이드라인에는 개념 정의뿐만 아니라 어떤 관점에서 보안 정책을 수립해야 하는지에 대한 제언도 담겼다. 제로트러스트를 구현할 필수 요소로는 ▲인증체계 강화 ▲초세분화(마이크로세그멘테이션) ▲소프트웨어 정의 경계 등 세 가지를 언급했는데, 이는 미국 등 주요국과 유사한 전략으로 제로트러스트 방향성을 추진하겠다는 점을 시사하기도 했다.

올해 4월에는 SW 공급망 보안 가이드라인가 베일을 벗었다. 사이버 공격 난도가 높아지면서 SW를 표적으로 위협을 가하는 사례가 늘자, 공급망 차원에서 방어 체계를 높이자는 취지였다. 가이드라인에는 SW 구성요소를 투명하게 공개해 위협 가능성을 낮추는 소프트웨어자재명세서(SBOM)에 대한 안내도 포함됐다. 이 또한 미국을 비롯한 주요국과 유사한 방향성을 명시해, 글로벌 흐름에 동참하겠다는 의지를 내비친 사례 중 하나다.

다만 업계에서는 새 보안체계가 정의를 내린 수준에 그쳤다는 평가가 나온다. 국내 보안업계 관계자는 "첫 가이드라인이 나온 뒤 안팎에서는 '그래서 우리 회사에 어떻게 적용해야 하냐'는 반응이 많았다"며 "실천을 하기 위한 구체적인 내용이 생략된 것이 아니냐는 의견도 있었다"고 분위기를 전했다.

특히 제로트러스트 가이드라인의 경우, 발표 이후 약 1년의 시간이 지났지만 새 보안체계에 대한 개념을 이해하지 못하고 있는 경우도 다반사다. 제로트러스트를 하나의 솔루션으로 구현할 수 있다고 믿는 사례도 있다. 보안기업들 중 '자사 제품만으로 제로트러스트를 완성할 수 있다'는 홍보 문구를 내세우는 경우가 보이는 이유도 여기에서 찾을 수 있다.

일단 정부는 연내 제로트러스트 2.0 가이드라인을 발표하고, 새 보안체계에 대한 도입 방법론을 제시한다는 구상이다. 올해 4월 정보보호 콘퍼런스 '넷섹(NetSec)-KR'에서 공개된 2.0 예상 목차에 따르면 산업 실태조사 결과, 도입 참조모델, 검증 방안, 특허 동향 등이 담길 전망이다.

한편 과기정통부는 '사이버보안 10만 인재 양성 방안' 등을 토대로 집중 투자한 결과, 올해 글로벌사이버보안지수(ITU) 최상위 등급을 달성할 수 있었다고 발표했다. 아울러 글로벌 대표 해킹방어대회 데프콘에서 3년 연속 우승을 거둬 사이버보안 선도국으로 위상을 높였다고 부연했다.

다만 대다수 지원 프로그램이 화이트해커 양성에 쏠리고 있다는 점은 부인할 수 없는 사실이다. 화이트해커는 네트워크와 소프트웨어 및 하드웨어 보안 취약점을 방어하는 데 특화된 윤리적 공격자다. 그러나 사이버 보안 인력이 부족한 영역으로는 분석가부터 엔지니어까지 여럿이라, 인재 양성에 다양성이 부족하다는 지적이 제기되고 있다.

업계 관계자는 "가이드라인으로 새 보안체계를 알리고, 지원 프로그램으로 인재 양성을 한다는 취지 자체는 좋다고 본다"면서도 "다만 이러한 정책들이 추후에도 지속이 가능할 만큼 힘이 있는지, 그리고 국내 보안업계를 성장시킬 동력이 될지는 물음표"라고 말했다. 이어 "빛 좋은 개살구에 그치지 않기 위한 드라이브가 필요한 때"라고 강조했다.