[디지털데일리 이나연기자] 정부가 공공 분야를 넘어 민간에서도 본격적인 '제로트러스트(Zero Trust)' 보안 모델 확산을 위한 노력을 강화한다.

과학기술정보통신부(이하 과기정통부)는 올해 상반기 제로트러스트 수요· 공급 기업 매칭형 지원 사업과 이에 관심 있는 기업에 추진 방향을 제시해 주는 컨설팅 사업 등에 나선다. 제로트러스트 전략에 대한 기업 인식을 높이기 위해 앞선 가이드라인에 연계한 개별 항목 해설서도 준비할 예정이다.

최영선 과기정통부 정보보호산업과장은 20일 서울 중구 전국은행연합회에서 열린 '디지털신뢰 새 패러다임, 제로트러스트 적용 전략' 콘퍼런스에서 제로트러스트 확산을 위한 정책 추진 현황을 발표했다.

제로트러스트는 해커가 네트워크 내·외부 어디든 존재할 수 있고, 모든 접속 요구는 신뢰할 수 없다는 가정하에 보호해야 할 모든 데이터와 컴퓨팅 서비스를 각 자원(리소스)으로 분리·보호하는 보안 전략이다. 비대면·원격접속·디지털 기반 환경이 새롭게 정착하면서 새로운 보안 위협이 확산한 데 따라 기존 경계 기반 보안 모델 한계를 극복하는 필수 전략으로 부상했다.

최영선 과장은 지난 2022년 랩서스(LAPSUS$)가 높은 수준 보안 기술을 적용하는 글로벌 대기업을 상대로 한 해킹 공격 사례를 언급하며 "정보기술(IT) 관리자 등 내부인이라 할지라도 기존처럼 광범위한 접근 권한을 주는 것은 옳지 않다는 게 최근 보안 정책 추세"라고 밝혔다.

미 연방정부는 지난 2014년 인사관리처 개인정보 유출 사고로 2000만명 이상 공무원과 관계자 정보가 유출된 바 있다. 이후 하원 조사와 미 국립표준기술연구소(NIST) 아키텍처 발간을 거쳐 2021년 조 바이든 대통령 행정명령으로 연방 민간 행정기관 전체에 제로트러스트 도입을 의무화했다.

이와 별개로 국방부, 국무부 등 각 연방 부처 기관들은 이에 대응하는 전략과 성숙도 모델, 가이드라인 등을 연이어 발간하고 있다. 최 과장은 "한국도 제로트러스트 체제로 신속한 전환 및 확산을 위한 정부 주도의 체계적이고 다각적인 지원을 모색 중"이라고 강조했다.

과학기술정보통신부는 지난 2021년 바이든 행정부에서 제로트러스트 행정명령을 시행한 이후, 곧바로 연구반을 조직해 논의를 시작했다. 2022년 10월에는 '제로트러스트 보안포럼'을 발족해 국내외 기술 동향을 분석하고 토론회 등을 통해 전문가 의견을 수렴했다.

이듬해 6월 제로트러스트 실제 도입 효과성에 대한 실증 사업을 2건 진행했다. 이어 한 달만에 제로트러스트 가이드라인 1.0을 제작하고, 정책 방향을 수립하기 위한 산업 실태 조사도 수행했다. 작년 4월에는 국내 기업 환경에 맞는 제로트러스트 보안 모델을 확산하기 위한 총 45억원 규모(총 4개 컨소시엄) 시범사업을 추진했다. 같은 해 12월에는 제로트러스트 도입을 주저하는 기업을 위해 세부 도입 절차를 제시하는 가이드라인 2.0을 발간했다.

최 과장은 "지난해 시범사업 경우, 국가정보자원관리원과 KB국민은행 등 공공기관과 금융사를 대상으로 제로트러스트 도입 첫 사례를 발굴했다는 점에서 의미가 있다"고 말했다. 금융 가치, 국민 생활과 직접적으로 연결돼 있는 대규모 서비스에 대한 보안 강화를 통해 서비스 품질 향상과 안전성 제고를 기대할 수 있게 됐다는 평가다.

시범사업 참가사 중 한 곳인 지니언스 경우, 자체 개발한 보안 모델을 토대로 미국과 칠레 등 여러 국가 기업에 판매 계약을 체결했다. KB국민은행은 내부적으로 제로트러스트 성숙도를 고도화하기 위한 투자를 진행 중이다.

최 과장은 "제로트러스트에 기반한 보안 서비스를 제공하는 기업과 이를 희망하는 기업을 서로 매칭해 실질적으로 제로트러스트 보안 모델 확산을 위한 노력을 강화할 예정"이라고 덧붙였다.