[제로트러스트 시대] ① 미국은 실현에 올인, 한국은 이제 출발선

실시간
뉴스

e비즈*솔루션

[제로트러스트 시대] ① 미국은 실현에 올인, 한국은 이제 출발선

디지털데일리 발행일 2024-01-24 10:06:55

김보민 기자

URL복사

"그 누구도 믿지 말고 검증하라." 올해 보안 시장의 핵심 화두로 '제로 트러스트(Zero Trust)'가 떠올랐다. 주요국은 국가 차원의 원칙과 행정명령을 통해 제로 트러스트를 본격 도입한 상황이다. 그렇다면 한국의 현주소는 어디일까. 한국판 제로 트러스트 추진 상황과, 우려 및 개선 사항을 3편에 걸쳐 살펴본다. <편집자주>

[디지털데일리 김보민 기자] "제로 트러스트는 더 이상 유행어가 아닙니다."

국내 보안 기업의 한 관계자는 최근 <디지털데일리>를 만나 이런 말을 했다. 수년간 실체 없이 쓰인 이 보안 방법론이 이제 기업을 넘어 국가 차원에서 주목하는 핵심 요인이 됐다는 취지였다. 이 관계자는 주요국들이 공공과 민간 영역에서 제로 트러스트 방식을 적용하면서 글로벌 보안 시장에 대격변이 일어날 수 있다고 분위기를 전했다.

다만 한국은 아직 시작 단계에 머물러 있는 상황이다. 한국 또한 디지털 전환(DX)과 사이버 보안을 강화하는 것이 주요 과제인 만큼, 올해에는 글로벌 수준에 상응하는 생태계가 마련돼야 한다는 지적이 나온다.

◆ 10년 전에도 있던 개념, 이제서야 뜨거워진 이유

제로 트러스트는 '누구도 믿지 말라'는 인식을 전제로 한 보안 방법론이다. 2010년 존 킨더백(John Kindervag) 포레스터 리서치 수석 애널리스트가 기존 보안 모델의 한계를 조명한 것이 시작이었다.

이후 제로 트러스트 개념은 진화를 거듭했다. 기존에는 네트워크 관점에서 탈경계가 필요하다는 일종의 철학에 그쳤지만, 지금은 사이버 공격에 효과적으로 대응하고 데이터 중심의 보안 전략을 구축하기 위한 방법으로 여겨지고 있다.

특히 신종 코로나바이러스 감염증(코로나19)를 계기로 디지털 전환이 가속화되면서 제로 트러스트로 보안망을 강화해야 한다는 주요국들의 공감대가 커졌다. 모바일, 사물인터넷(IoT), 클라우드 등 비대면 환경이 늘어난 만큼 예측 불가능한 위협 거점을 만들지 말자는 게 핵심이었다.

외부뿐만 아니라 내부 조직원을 대상으로도 경계 태세를 취해야 한다는 현재 개념이 정립된 이유다.

전통 보안 체계인 경계 기반 모델의 경우, 내부망과 외부망 사이 울타리를 두되 권한을 가진 사용자가 내부망에 접근할 수 있도록 허용했다. 반면 제로 트러스트는 서버, 컴퓨팅 서비스, 데이터 등 세부 요인을 나눠 별도 접근 권한을 가지도록 규정하고 있다. 시스템 별로 보초병을 세워, 내외부로 보안 체계를 강화하는 것이 골자다. 위협 요인을 싣고 몰래 잠입하는 '트로이카 목마'를 방지하자는 취지도 깔려 있다.

최근 해킹·랜섬웨어 등 파급력이 큰 공격이 사이버 공간뿐만 아니라 국가 안보와 인프라에 위협을 가하고 있다는 점도 제로 트러스트 논의를 가속화하는 데 일조하고 있다. 인공지능(AI)을 기반으로 사이버 공격이 지능화되고 있다는 점을 고려했을 때 기존 보안 모델이 가진 한계는 이제 이론이 아닌 현실로 다가온 상황이다.

◆ 주요국은 제로 트러스트 실현 한창, 한국은 가이드라인 수립 중

그러나 한국은 제로 트러스트를 실제 공공과 민간 분야에서 실현하기까지 비교적 더딘 행보를 보이고 있다. 디지털 전환 대표 국가라고 이야기하기에 정부의 제로 트러스트 전략이 속도를 맞추지 못한다는 지적도 나온다.

현재 제로 트러스트를 빠르게 구현하고 있는 국가는 미국이다. 미국은 2020년 미국표준기술연구소(NIST)가 제로 트러스트 아키텍처를 발표한 것을 시작으로 연방정부 차원에서 도입을 본격화했다. 바이든 행정부는 2021년 행정명령을 통해 제로 트러스트를 명문화했고, 각 연방정부 부처와 기관을 대상으로 올해까지 관련 모델을 도입하도록 했다.

영국도 빠르게 생태계를 구축하고 있다. 영국은 국가사이버보안센터(NCSC)를 중심으로 2021년 제로 트러스트 아키텍처 설계 원칙을 제시했다. 일본 또한 2020년 정부 정보시스템에서 제로 트러스트를 적용하기 위한 사고방식을 도입하면서 구현에 속도를 올리고 있다. 2022년에는 제로 트러스트 아키텍처를 적용하기 위한 정책을 제시하기도 했다.

한국은 지난해 시범 사업을 통해 제로 트러스트 확산에 신호탄을 쏘아올린 상태다.

과학기술정보통신부(이하 과기정통부)는 지난해 제로 트러스트 가이드라인 1.0을 공개해 세부 개념과 아키텍처를 정의했다. 핵심 원칙으로 ▲인증 체계 강화 ▲초세분화(마이크로세그멘테이션) ▲소프트웨어 정의 경계 등 세 가지를 제시했고, 기본 철학으로 '모든 종류의 접근에 대해 신뢰하지 않을 것' 등 여섯 가지를 명시했다. 이와 관련해 정부 차원의 모델 실증사업도 추진된 바 있다.

모두 주요국들이 이르면 3년 전 명문화했던 부분들이다. 일단 정부는 올해 가이드라인 2.0을 공개하고, 제로 트러스트를 실현하기 위한 생태계를 마련하는 데 집중할 계획이다. 공공 분야에 특화된 첫 가이드라인도 출격을 준비하고 있는 것으로 알려졌다.

다만 단순 가이드라인을 넘어 실효성 있는 실현 대책이 마련되지 못한다면 여전히 주요국에 비해 뒤처질 수 있다는 지적이 나온다. 국내 보안 업계 관계자는 "현재 국제 표준화 작업 등 여러 영역에서 한국도 목소리를 내고 있지만, 글로벌 논의에 맞춰 국내 생태계 또한 속도를 따라갈 필요가 있다는 목소리도 나오고 있다"라고 말했다.