컨텐츠 바로가기

06.17 (월)

[공공SW 산업혁신]⑥ 공공 보안업계 주목하는 한국표 제로트러스트, 모델 확산 '넘어야 할 산'

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
디지털데일리

<이미지를 클릭하시면 크게 보실 수 있습니다>


[디지털데일리 김보민기자] 올해 보안업계 최대 화두는 '제로트러스트(Zero Trust)'다. 제로트러스트는 '그 누구도 믿지 말고 경계하라'는 의미를 담은 보안 방법론으로, 외부는 물론 내부에서도 위협이 발생할 수 있는 구간에 방어 태세를 구축하는 것이 핵심이다.

과거 제로트러스트는 유행어처럼 떠돌았지만, 최근 사이버 공격이 고도화되면서 빼놓을 수 없는 핵심 가치로 떠오르고 있다. 주요국은 물론 한국에서도 제로트러스트 가이드라인을 발간하고 기본 모델을 발표하며 속도를 올리는 추세다. 다만 국내에서는 아직까지 제로트러스트에 대한 분위기가 무르익지 않아 모델 확산에 한계가 분명하다는 의견도 나오고 있다.

현재 한국형 제로트러스트를 엿볼 수 있는 대표적인 사례는 지난해 과학기술정보통신부(이하 과기정통부)가 발표한 가이드라인 1.0이다. 이 가이드라인은 ▲인증 체계 강화 ▲초세분화(마이크로세그멘테이션) ▲소프트웨어 정의 경계 등 세가지 핵심 원칙을 기반으로 하나의 솔루션이 아닌 여러 보안 전략을 융합할 방법을 제시했다.

이외에도 제로트러스트 접근제어 원리에 대한 설명도 담았다. 가이드라인은 제로트러스트 구조(아키텍처)를 제어 영역과 데이터 영역으로 나눴고, 접속 요구 제어를 위해 정책결정지점(PDP)과 정책시행지점(PEP)이 분명해야 한다고 명시했다. PDP의 경우 PEP와 보안정보및이벤트관리(SIEM)와 같은 솔루션에서 생성한 정보를 근거로 자원 접근 여부를 결정하고, 접근 허가 후 양방향 보안 통신 경로를 생성하도록 했다.

가이드라인은 이러한 제로트러스트 정의는 물론, 도입을 위한 기업망 핵심 요소를 설명하기도 했다. 실제 보안 침해 사고가 발생했을 때 경계형 보안과 제로트러스트 대응 방식에 어떤 차이가 있는지도 소개했다.

정부는 지난해 가이드라인과 함께 제로트러스트 시범 사업을 전개하며 모델 확산에 집중하기도 했다. 지난해 12월에는 클라우드와 구축형(온프레미스) 등 다양한 방식의 'K-제로트러스트 기본모델' 2종을 공개하기도 했다. 기업 업무 환경에 상관 없이 제로트러스트 보안 모델을 적용할 수 있다는 점을 소개하는 것이 핵심이었다.

다만 첫 번째 가이드라인이 공개된 이후 약 1년의 시간이 지났지만, 실제 제로트러스트 시대를 체감하는 기업은 많지 않다. 가이드라인 하나 만으로 제로트러스트 도입 방법을 습득하고 향후 효과를 체감하기 어렵다는 이유에서다. KB국민은행, 엔씨소프트 등 일부 기업은 자체적으로 제로트러스트 전략을 구축 중이지만 이러한 사례는 아직 많다고 평가하기 어렵다.

때문에 새로운 가이드라인에서 제로트러스트 모델에 대한 기업들의 '궁금한 점'을 해소해야 한다는 의견에 힘이 실린다. 특히 디지털 전환에 발맞춰 제로트러스트 모델을 어떻게 도입할지 소개하는 것이 관건이 될 전망이다. 앞서 클라우드 모델은 서비스, 서버, 애플리케이션(앱), 데이터 등을 논리적으로 분리해 보호하는 방식으로 정의됐고 온프레미스는 접속 차단 또는 리소스 제한이 가능한 동적인증체계를 적용하는 방식으로 소개됐다. 추가적인 도입 사례와 효과에 대한 설명이 필요하다는 의미다.

지난 4월 열린 정보보호 콘퍼런스 '넷섹(NetSec)-KR'에서는 제로트러스트 가이드라인 2.0에 대한 윤곽이 나오기도 했다. 이번 가이드라인은 국내 제로트러스트 산업 실태조사 결과와 도입 참조모델을 포함할 전망이다. 클라우드와 온프레미스 방식 모두 소개된다. 이 밖에도 제로트러스트 도입 검증 방안과 해외 참조 모델, 그리고 특허 동향도 소개될 예정이다. 공개 예상 시점은 올 하반기로, 업계 안팎에서는 9월을 유력하게 보고 있다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.