[뉴스토마토 심수진 기자] 사이버 위협의 지능화로 보안 역량 강화의 중요성이 커지는 가운데 정부가 국내 기업 환경에 적용할 수 있는 '제로 트러스트(Zero Trust) 기본모델'을 발표했습니다. 제로 트러스트는 정보 시스템에 대한 접근 요구 시 네트워크가 이미 침해됐다는 가정하에 "계속 검증해야 한다"는 철학을 담은 보안 개념으로, 기존의 경계 보안에서 더 나아간 보안 방법론입니다. 정부는 앞서 발표한 '제로 트러스트 가이드라인 1.0'을 기반으로 클라우드와 원격·재택 업무 환경에 적용할 수 있는 보안 모델의 효과성을 검증했습니다.
클라우드·구축형 환경에서 ‘제로 트러스트’ 모델 효과성 검증
11일 과기정통부는 국내 기업망 환경에 적용할 수 있는 제로 트러스트 모델 2종을 발표했습니다. 클라우드 환경과 원격·재택 업무 시 적용할 수 있는 구축형 모델로, 업무 환경과 관계없이 제로 트러스트 보안 모델을 적용할 수 있도록 했다는 설명입니다.
이는 지난 7월 발표된 제로 트러스트 가이드라인 1.0에서 제시한 보안 모델을 실제 기업망 환경에 적용한 첫 사례입니다. 과기정통부와 한국인터넷진흥원(KISA)은 제로트러스트의 보안 모델을 쉽게 이해할 수 있도록 기본 개념과 원리, 핵심 원칙, 접근 제어 원리 등을 담은 '제로 트러스트 가이드라인 1.0'을 발표하고, 효과성 검증을 위한 실증사업을 해왔습니다.
우선 클라우드 기반의 제로 트러스트 보안 모델은 모델은 무선통신 및 클라우드 환경에서 서비스, 서버, 애플리케이션, 데이터 등을 각각 논리적으로 분리해 보호하고, 정책시행지점(PEP)이 탑재된 제로 트러스트 전용 라우터를 세계 최초로 개발·적용했습니다. 특히 실증 현장에 대한 보안효과성을 검증하기 위해 국내 전문시험 기관이 참여해 항목별로 보안 효과가 개선된 것을 확인했다는 설명입니다.
원격·재택 근무 시 사이버 공격을 방어할 수 있는 제로 트러스트 모델도 공개했습니다. 접속 요구자의 보안 수준을 점수화해 접속 단계는 물론 접속 중에라도 점수에 변경이 생기면 접속을 차단하거나, 접근 가능한 리소스를 제한하는 기능을 갖췄습니다.
정은수 과기정통부 정보보호네트워크정책과장은 이날 서울 여의도에서 열린 '제로 트러스트 보안 모델 실증 성과공유회'에서 "국내의 다양한 보안솔루션 융합으로 제로 트러스트 보안 모델을 구현해 기업망 환경에 제로트러스트 보안 모델의 적용 가능성을 확인했다"라며 "제로 트러스트 보안 모델 도입이 본격화되는 상황에서 글로벌 기업들의 제로 트러스트 관련 솔루션이 많은데 (이번 개발로)국내 기업들이 수입 대체 효과를 가져갈 수 있고, 글로벌 시장에 진출할 수 있는 발판을 마련했다"고 평가했습니다.
11일 서울 여의도에서 열린 '제로트러스트 보안 모델 성과 공유회'에서 (왼쪽에서 다섯번째부터)홍진배 과학기술정보통신부 네트워크정책실장과 이원태 한국인터넷진흥원(KISA)원장, 관계자들이 기념사진을 찍고 있다. (사진=뉴스토마토)
정보보안 수요기업 62.5% "제로트러스트 모른다"
다만 실제 산업 현장에서 제로 트러스트 도입에 대한 인지도는 매우 낮아 인식 제고를 위한 방안이 필요한 상황입니다. 국내 정보보안 수요기업과 솔루션 제공 기업을 대상으로 제로 트러스트에 대한 인식을 조사한 결과 수요기업의 62.5%가 제로트러스트를 "모른다"고 응답했습니다. 제로 트러스트 용어를 잘 알고 있다고 답한 비율은 6.5%에 불과했고, 향후 제로 트러스트를 도입할 계획이 없다는 응답은 77%에 달했습니다. 이는 제로 트러스트에 대한 정보가 부족하고, 보안 강화의 필요성을 느끼지 못하기 때문으로 풀이됩니다. 제로 트러스트 솔루션을 제공하는 공급기업 또한 공급 절차의 복잡성, 정책과 방향성의 부재, 전문인력 부족에 고민이 큰 것으로 나타났습니다.
유진호 상명대학교 교수는 "제로 트러스트에 대한 인식 제고를 위해 다양한 분야의 제로 트러스트 우수 사례를 발굴, 확산해야 한다"라며 "올해는 공급사에서 발표하고 있지만 내년에는 이를 적용한 수요기업에서 발표해 논의하는 것이 필요하고, 기업 보안 담당자 대상의 교육이 충분히 이뤄져야 한다"고 말했습니다. 그는 이어 "제품의 호환성이 정말 중요한데 제로 트러스트 보안체계 구축을위해서 공급기업이 API를 개방해 정보보호 솔루션 간 호환성을 확보하는 것이 필요하다"라고 강조했습니다.
홍진배 과기정통부 네트워크정책실장은 "향후 제로 트러스트 성숙도 모델을 계속 발전시켜나가고, 국산 제로 트러스트 보안모델의 성공적인 확산을 지원해 국가적 차원의 사이버보안 수준을 한 단계 높이고 국내 기업의 체계적인 해외진출도 지원하겠다"고 밝혔습니다.
심수진 기자 lmwssj0728@etomato.com