[디지털데일리 이안나기자] 지니언스는 고객사 환경에 맞는 개방형 제로트러스트 아키텍처를 구현하기 위해 OPA(Open Policy Agent) 기반 솔루션을 개발했다. 단일 벤더 제품으로는 제로트러스트를 완벽히 구현하기 어려운 현실을 고려해, 기존 보안 제품들과 연동이 가능한 개방형 구조를 채택했다는 설명이다.

이상협 지니언스 수석은 20일 서울 중구 전국은행연합회 은행회관에서 개최된 디지털데일리 주관 ‘디지털 신뢰 새 패러다임, 제로트러스트 적용 전략 콘퍼런스’에서 “국내 보안제품들은 각각 데이터 보안 시스템과 카테고리별로 나뉘어져 있어, 한 벤더 힘으로 제로트러스트를 구현하는 것은 매우 어렵다”고 설명했다.

기업들 보안제품 운영 주기는 보통 3~5년이다. 제로트러스트 구현을 위해서는 기존 제품과 신규 도입 제품을 결합해 각 제조사 환경에 맞는 모델을 구축해야 한다. 이상협 수석은 “고객들이 ‘어떤 모델이 적합한가’를 물어볼 때, 먼저 정책시행지점(PEP)이나 중요하게 여기는 포인트들을 파악한다”며 “동일한 블록으로도 고객 환경에 따라 다른 형태가 될 수 있다”고 설명했다.

제로트러스트 도입에 대한 기업들 공감대는 국내에서도 형성된 상태다. 이 수석은 “2023년에는 제로트러스트 개념 설명에 치중했다면, 이제는 ‘어떤 모델이 적합한가’, ‘예산은 어떻게 확보할 것인가’, ‘어떤 준비가 필요한가’, ‘정책은 어떻게 수립하는가’ 등 구체적인 질문들이 나오고 있다”고 말했다.

지니언스는 이러한 시장 요구에 대응하기 위해 한국인터넷진흥원(KISA) ZTA 사업에 참여했다. 개발된 아키텍처 핵심은 OPA 엔진이다. OPA는 정책 기반 접근 제어(PBAC)를 제공하는 오픈소스로, 누가 특정 리소스에 접근할 수 있는지를 결정하고 전달하는 역할을 한다. 이 수석은 “지니언스 이름을 내세우기보다 누구나 사용 가능하고 확장성 뛰어난 오픈소스 엔진을 채택하는 것이 맞다고 판단했다”고 설명했다.

개방형 제로트러스트 아키텍처 구현을 위한 주요 컴포넌트는 크게 네 가지다. 신원관리(IAM)는 플랫폼 시스템별 계정을 통합 관리하고, 소프트웨어 정의 경계(SDP)는 외부에서 내부로 안전한 접근통로를 제공한다. 정책결정지점(PDP)은 더 많은 어트리뷰트를 수집·관리하며, OPA는 타사 PEP를 위한 권한 할당 엔진으로 작동한다.

실제 구축 시에는 단계적 접근이 중요하다. 1년 만에 모든 것을 구현하기는 어렵기 때문에 우선순위를 정해야 한다. 고객사 인벤토리 조사 시에는 사용자와 애플리케이션 현황, 연동 방안, 위험도, 탈취 시 발생할 수 있는 리스크 등을 종합적으로 파악한다. 최근에는 국가망보안체계(N²SF) 모델 등 컴플라이언스 모델과의 결합도 늘고 있다.

시장은 크게 단일벤더와 멀티벤더 환경으로 나뉜다. 외국계 기업들이 제공하는 서비스형소프트웨어(SaaS) 형태 단일벤더 솔루션은 제품 간 결합이 단단하다는 장점이 있다. 하지만 국내 리전에 모든 서비스가 구축되어 있지 않아 왕복지연시간(RTT) 문제가 발생할 수 있으며, 특히 금융권과 같이 SaaS 사용이 제한적인 분야에서는 적용이 어렵다.

반면 국내 환경 특징인 멀티벤더 방식은 각 분야에서 전문성이 높은 제품들을 선택할 수 있다는 장점이 있다. 다만 이들 제품 간 연동이 과제로 남는다. 2024년 보안 리포트에 따르면 기업들은 강제성이 없는 상황에서 예산 확보에도 어려움을 겪고 있다.

지니언스 개방형 제로트러스트 아키텍처는 이미 국내 주요 기업들에 도입되어 성과를 보이고 있다. 이 수석은 “VPN을 대체할 수 있는 기능과 보호 기능을 제공하며, SDP 컨트롤러를 통해 제어·데이터 세션을 분리해 선검증 후접속 체계를 구현했다”고 말했다. 이어 “선검증 후접속, 최소권한 부여 기반으로 사이버복원력을 강화해 비즈니스 연속성을 확보하고, 비즈니스 거버넌스를 IT 거버넌스가 지원할 수 있도록 하는 것이 지니언스의 궁극적인 목표”라고 덧붙였다.