[디지털데일리 김보민기자] '누구도 믿지 말고 경계하라'. 글로벌 보안 업계에서 제로트러스트(Zero Trust)가 화두로 떠올랐다. 외부 뿐만 아니라 내부에서도 위협이 발생할 수 있다고 보는 이 방법론은, 해를 거듭하며 선택이 아닌 필수 보안 체계로 인정을 받고 있다.

한국은 제로트러스트 보안에 관심이 큰 국가 중 하나다. 2023년에 이어 지난해 12월 두 번째 가이드라인을 발표하며, 제로트러스트 도입에 대한 물음표를 느낌표로 바꾸는 작업이 한창이다. 이 과정에서 실증 및 시범사업, 연구반에 참여하며 인식 제고에 뛰어든 대표 기업은 SGA솔루션즈다.

SGA솔루션즈는 유행어처럼 떠돌았던 제로트러스트 보안이 성숙기에 접어들고 있다고 보고 있다. 통합 보안에 대한 중요성이 부각된 만큼, 연계와 연동에 초점을 둔 제로트러스트 보안 체계가 주목을 받을 것이라는 취지다. 이를 계기로 국산 보안의 역량 또한 드러날 것으로 자신하고 있다.

최영철 SGA솔루션즈 대표는 <디지털데일리>를 만나 "제로트러스트는 통합 보안의 결정판"이라며 "단순 개념과 철학으로 바라보던 단계는 지났다"고 평가했다. 특히 위협 동향이 진화하면서 제로트러스트 보안이 더욱 중요해지고 있다고 밝혔다. 그는 "과거에는 공격이 하나씩, 그리고 따로따로 들어왔다면, 이제는 그렇지 않다"며 "연속적인 공격을 탐지하고 대응하는 통합 보안 체계가 중요해진 시점"이라고 강조했다.

한국은 정부 차원에서 대응 전략을 추진하고 있는 상황이다. 과학기술정보통신부(이하 과기정통부)는 지난해 12월 제로트러스트 가이드라인 2.0을 통해 '초기' 단계를 추가한 4단계 성숙도 수준을 정의하고, 기업망 핵심 요소별로 27가지 기능과 단계별 특징을 구체화했다. 기업이 제로트러스트를 도입 혹은 고도화할 때 고려할 체크리스트를 제공한 셈이다.

SGA솔루션즈는 외산 제품으로만 제로트러스트를 완성할 수 있다는 편견은 오랜 말이라고 일축했다. 그는 "풀스택 제로트러스트액세스(ZTA)라는 개념은 프레임워크를 갖추고 시작하는 것이 중요한데, 주요 글로벌 기업의 경우 제로트러스트네트워크액세스(ZTNA) 분야에 집중하고 있어 만족하지 못하는 영역이 있다"며 "(연동 및 연계가 용이한) 국산 보안들의 경쟁력이 분명한 부분"이라고 말했다. ZTA는 ZTNA를 포괄하는 개념이다.

문제는 시장 활성화가 더디다는 점이다. 최 대표는 "연계와 연동의 경우 복잡한 작업은 아니지만, 표준으로 정해져 있지 않다 시장이 열리는 데 시간이 걸리고 있다"고 설명했다.

특히 실증 사업을 중심으로 제로트러스트 추진력이 정체돼 있다는 점을 제약으로 꼽았다. 최 대표는 "좋은 점도 있지만, 계속 실증만 한다고 해서 시장이 절대 열리지 않을 것"이라며 "가이드라인 1.0에 이어 2.0이 나왔고, 이 부분을 어떻게 적용하고 활성화할 것인지 방안을 제시해야 할 것"이라고 말했다. 그러면서 "관련 사업이 나온다면 연동을 강제로 하는 것을 넘어, 자연스러운 합종연횡이 이어질 전망"이라며 "이를 규격화하고 통일하는 형태로 전환할 것이라고 예상한다"고 강조했다.

SGA솔루션즈는 제로트러스트 인식을 높이기 위한 작업에 참여하고 있다. 지난 2023년에는 과기정통부와 한국인터넷진흥원(KISA)이 발주한 제로트러스트 보안 모델 실증사업에 참여했다. 여기에는 정책결정지점(PDP) 특화 SGN과 더불어 지니언스, 소프트캠프가 참여했다. 지난해에는 SGN, SGA이피에스, 케이사인, 엔키화이트햇과 함께 도입 시범사업에 뛰어들었다.

최 대표는 제로트러스트 시대 '시큐리티 플랫폼' 전략이 주효할 것이라며, 내년에도 대표주자로서 활약을 이어가겠다고 다짐했다. 그는 "제로트러스트의 경우 현 정부가 출범한 이후 시동을 걸었지만, 미국을 비롯한 주요 국가들이 주목하고 있기도 하다"며 "정국 변화와 관계없이 제로트러스트를 장려할 필요가 있고, 정부에서 관심을 갖고 지원해야 한다고 생각한다"고 밝혔다.

풀스택 제로트러스트 솔루션도 지속 강화한다. SGA ZTA는 풀스택 제로트러스트 솔루션으로, 다양한 클라우드 환경에 필요한 기능을 갖춘 것이 특징이다. 대표적으로 통합엔드포인트관리(UEM), 정책결정 및 관리(ICAM), 정책이행(PAM 게이트웨이), 엔터프라이즈 소스 시스템 보안(마이크로세그멘테이션), 정책지원(PIP) 등을 제공한다. 신원 인증, 디바이스 검증, 동적 정책, 엔터프라이즈 리소스 보호에도 특화돼 있다.

최 대표는 "전통적인 레거시 보안은 물론 클라우드 보안, 제로트러스트를 중심으로 사업을 성장시키고, 컨설팅과 기술 지원을 아우르는 변화를 추진할 것"이라며 "2025년을 필두로, 시장 리더가 되기 위한 노력을 이어가겠다"고 강조했다.