[디지털데일리 김보민기자] 정부와 주요 당국이 차세대 보안 체계를 강조하면서 '디지털 신뢰' 판도가 진화하기 시작했다. 민간은 물론 공공과 금융권에 영향이 불가피할 것으로 예상되는 가운데, 정책과 가이드라인을 반영하려는 움직임이 본격화될 전망이다.

차세대 보안 체계에 주목하고 있는 대표적인 정부 부처는 과학기술정보통신부(이하 과기정통부)다. 과기정통부는 2023년을 기점으로 제로트러스트 보안 모델을 국내 시장에 확장하는 데 집중하고 있다.

제로트러스트는 외부뿐만 아니라 내부에서도 위협이 발생할 수 있다고 가정하고, 구간별 보초병을 세우는 보안 방법론이다. 미국(NIST SP 800-27)이 정의한 개념을 착안한 것이 특징인데 신뢰성이 보장되지 않은 네트워크 환경을 가정해 서버, 데이터베이스(DB) 등 컴퓨팅 자원에 대한 지속적 접근 요구에 최소한의 권한을 부여하고 동적 인증을 통해 접근 허가를 허용하는 방식으로 구현이 가능하다.

과기정통부는 2023년 첫 번째 제로트러스트 가이드라인을 발간했고, 지난해 12월 두 번째 가이드라인을 배포했다. 첫 번째 가이드라인은 국내 시장에 맞는 제로트러스트 개념과 아키텍처를 정의하는 데 집중했다면, 두 번째 가이드라인은 성숙도 수준과 기업망 핵심 기능을 구체화한 내용을 담았다. '제로트러스트는 철학과 개념일 뿐'이라는 일부 의견에 대응해, 실제 조직이 도입할 수 있는 방안을 제시한 것이 특징이다.

과기정통부가 민간에 특화된 지침을 마련했다면, 국가정보원(이하 국정원)은 공공 영역에 집중한 제로트러스트 개념을 제시하고 있다. 올해 1월 국가망보안체계(National Network Security Framework·N²SF) 가이드라인을 발표한 것이 시작이다. N²SF는 정부 전산망을 업무 중요도에 따라 기밀(Classified·C), 민감(Sensitive·S), 공개(Open·O) 등급으로 분류하고, 보안 통제 항목을 차등 적용해 보안성과 데이터 공유를 활성화하는 체계다. 그간 공공에서 제약이 많았던 인공지능(AI)과 클라우드 등 신기술 활용을 늘리자는 취지다.

N²SF는 제로트러스트와도 맥을 같이 한다는 것이 국정원 입장이다. 제로트러스트는 N²SF 구현 과정에서 보안 신뢰와 체계를 확립하는 데 주축이 될 수 있다는 관측도 나온다. 국정원은 이번 가이드라인 참고 항목에 '국가망보안체계 기반 제로트러스트 적용 방법'을 추가해 오버레이(Overlay) 개념을 소개했다. 오버레이는 보안통제 항목을 조정하는 세부 지침으로, 보안 통제 항목을 구현할 때 조직이 고려해야 하는 파라미터를 지정하는 것이 특징이다. 통제 항목을 정할 때 조직 목표에 따라 N²SF와 제로트러스트 개념을 반영할 수 있다.

그간 보안업계에서는 공공 분야에서 패러다임이 진화하기 위해 국정원의 역할이 중요하다는 의견이 제기돼 왔다. 특히 제로트러스트 모델의 경우, 민간과 더불어 공공 영역에서 추진력이 뒷받침돼야 한다는 의견에 힘이 실린 바 있다. 공공이 모범 사례를 보이는 것 만큼 패러다임 전환에 효과적인 방법이 없다는 취지다. 보안 최대 시장을 갖춘 미국의 경우 제로트러스트 아키텍처 발표 이후 국가 사이버보안 강화 행정명령을 발표했고 연방정부 차원에서 도입을 본격화하고 있다.

이번 가이드라인이 공공 영역에 변화를 이끌 수 있다는 관측이 제기되는 이유다. 국정원은 7월 정식 가이드라인을 배포하고 시행할 방침이라고 로드맵을 제시했는데, 공공 또한 올 하반기에 맞춰 대응 방안을 모색 중인 것으로 전해진다. 국내 보안업계 관계자는 "일부 시·도에서는 N²SF 발표 이후 내부적으로 어떤 적용 방법이 있을지 검토 중인 것으로 안다"며 "프레임워크를 바로 도입하기 보다, 소프트웨어정의네트워크(SDN) 등을 적용해 단계적 접근을 추진할 전망"이라고 분위기를 전했다.

금융권도 판도 뒤집기에 뛰어들었다. 금융위원회는 디지털플랫폼정보위원회, 금융감독원, 금융보안원 등과 함께 망분리 개선 방향을 논의하고 지난해 8월 로드맵을 공개했다. '금융분야 망분리 개선 로드맵'이라는 이름으로 공개된 계획안에는 샌드박스를 통해 인터넷 활용에 대한 규제 특례를 허용하고, 클라우드 기반 서비스형소프트웨어(SaaS) 이용 범위를 확대하는 내용이 담겼다.

금융 당국은 망분리 개선에 앞서 금융사 특성에 맞는 보안 대책을 수립하는 것이 중요하다고 강조하고 있다. 각 사 별로 생성형 AI와 SaaS 모델을 별도 운영하고 있는 만큼, 환경에 맞는 대책을 마련해 이행할 필요가 있다는 취지다. 일례로 서버와 상용 AI 모델로 구성된 외부망을 내부에 연계했을 때 단말기, 서버, 네트워크에 특화된 보안대책이 필요하다는 것이다. 생성형 AI에 질의를 하는 단말기가 있다고 가정했을 때, 개인신용정보 등 중요 데이터가 유출되지 않도록 방지 대책을 마련하는 방식이다.

이러한 움직임에 금융사 또한 대응 방안을 모색하고 있다. 시중 은행의 경우 올해 AI 센터를 확장하거나 데이터 본부 및 플랫폼 사업 총괄 그룹을 신설하는 조직 개편을 꾀하고 있어, 당국 지침 및 권고사항에 따라 보안 로드맵을 구축 중이다.

한편 올해 창간 20주년을 맞은 <디지털데일리>는 2월20일 전국은행연합회 은행회관 국제회의실 2층에서 [디지털신뢰 새 패러다임, 제로트러스트 적용 전략] 콘퍼런스를 개최해 관련 내용을 소개할 예정이다. 현장에서는 과기정통부, 국정원, 서울시를 비롯해 공공·금융권 및 민간 기업들의 보안 전략을 들어볼 수 있는 시간이 마련된다.

주요 발표로는 ▲과기정통부 최영선 정보보호산업과장 '제로트러스트 확산을 위한 정책 추진현황' ▲서울시 디지털도시국 김완집 정보보안과장 '서울시 EDR 및 제로트러스트 추진 현황과 전략' ▲국정원 '국가망보안체계(N²SF) 개념 및 주요 내용' ▲강남대 박정수 교수 '제로트러스트 2.0 가이드라인 해설' 등이 있다. 금융권에서는 ▲BNK부산은행 류창열 상무 '제로트러스트 구현을 위한 보안 투자전략' 발표가 준비돼 있다.

보안 패러다임을 소개하기 위한 기업들의 발표도 이어진다. ▲SK쉴더스 이봉준 수석 'SKZT(SK쉴더스 제로트러스트) 방법론 및 수행사례 소개' ▲SGA솔루션즈 김광훈 전무 'SGA ZTA 준비 컨설팅과 구축사례 소개' ▲안랩 백민경 팀장 '제로트러스트 적용을 통한 엔드포인트 보안 혁신 전략' ▲지니언스 이상협 수석 '국내 IT 보안 환경을 고려한 제로트러스트 아키텍처' ▲엠엘소프트 이재준 이사 '제로트러스트 실전 가이드: 기술적 구현과 전환의 과제' 등이 청중을 만난다.