[디지털데일리 이나연기자] 과학기술정보통신부가 기업의 '제로트러스트(Zero Trust)' 도입 어려움을 해소하기 위한 가이드라인 2.0을 내놓은 가운데, 업계마다 가이드라인 내 성숙도 모델 체크리스트를 잘 활용해야 한다는 의견이 나왔다.

향후 제로트러스트 도입 때 각 산업 분야와 기업 도메인 특성을 반영한 보안 성숙도를 평가하고 전략과 예산 계획을 수립하는데 필수 관문이라는 설명이다.

20일 <디지털데일리>는 서울 중구 전국은행연합회에서 ‘디지털신뢰 새 패러다임, 제로트러스트 적용 전략’ 콘퍼런스를 개최했다. 이날 박정수 강남대학교 교수는 '제로트러스트 2.0 가이드라인'을 주제로 발표에 나섰다.

박정수 교수는 "제로트러스트 2.0 가이드라인은 기업이 제로트러스트 아키텍처를 왜 도입해야 하는지에 대한 본질적인 답을 제공한다"면서도 "(제로트러스트) 도입 후 발생하는 문제를 해결하기 위한 방안을 마련하는 동시에 지속적인 연구가 필요하다"고 강조했다.

과학기술정보통신부는 지난 2021년 미국이 조 바이든 대통령 행정명령으로 행정기관 전체에 제로트러스트 도입을 의무화한 것을 계기로 관련 논의에 착수했다. 이후 과기정통부와 한국인터넷진흥원, 한국제로트러스트포럼은 2023년 제로트러스트 가이드라인 1.0을 제작했다.

과기정통부는 제로트러스트 도입을 주저하는 기업을 위해 세부 도입 절차를 제시하는 가이드라인 2.0을 발간하기 위해 기존 주체에 정책· 제도분과위원 등을 포함한 산학연관 전문가 그룹을 구성했다. 작년 6월 첫 회의를 시작으로 5개월간 온오프라인 회의와 토론, 수정을 거쳐 같은 해 12월 완성했다.

가이드라인 2.0은 성숙도 모델을 기존 3단계에서 4단계로 세분화한 게 특징이다. 기업망 핵심 요소에 대한 27가지 기능 및 52가지 보안 세부 역량과 성숙도를 수준별로 다루고 있다. 기업이 제로트러스트를 도입한 뒤 보안 수준 평가를 위한 체크리스트도 제공한다.

박 교수는 "기업 담당자는 체크리스트를 활용해 보안 성숙도를 평가하고, 향후 보안 전략과 예산 계획을 짤 수 있다"면서도 "참고 자료일뿐, 정부·공공기관 보안 수준 평가나 필수 규정보다 우선될 수 없다"고 밝혔다.

이어 "한국도 글로벌 제로트러스트 도입 흐름을 적극 반영해 관련 아키텍처 도입 정책을 수립하고 기술 개발을 가속할 필요가 있다"고 부연했다.

제로트러스트는 해커가 네트워크 내·외부 어디든 존재할 수 있고, 모든 접속 요구는 신뢰할 수 없다는 가정하에 모든 데이터와 컴퓨팅 서비스를 각 자원(리소스)으로 분리·보호하는 보안 전략이다. 비대면·원격접속·디지털 기반 환경이 새롭게 정착하면서 새로운 보안 위협이 확산한 데 따라 기존 경계 기반 보안 모델 한계를 극복하는 필수 전략으로 부상했다.

업계에 따르면 제로트러스트 보안 시장은 2023년 290억1000만달러(한화 약 41조8000억원)에서 오는 2032년 1173억달러(한화 약 168조9000억원)로 성장할 전망이다. 이는 연평균 성장률(CAGR) 16.8%에 해당한다.