[ZT콘퍼런스] SK쉴더스 “국내 제로트러스트 도입률 8%...단계적 전환 지원”

실시간
뉴스

보안

[ZT콘퍼런스] SK쉴더스 “국내 제로트러스트 도입률 8%...단계적 전환 지원”

디지털데일리 발행일 2025-02-20 15:16:21

이안나 기자

URL복사

이봉준 SK쉴더스 수석이 20일 서울 중구 전국은행연합회에서 디지털데일리가 주관하는 ‘디지털 신뢰 새 패러다임, 제로트러스트 적용 전략 콘퍼런스’에 참가해 발표하고 있다.

[디지털데일리 이안나기자] 제로트러스트 도입이 국내에서도 본격화되는 가운데, SK쉴더스가 자체 개발한 ‘SKZT’ 방법론으로 기업들 단계적 전환을 지원한다. SK쉴더스는 성숙도 평가부터 환경 구축, 운영체계 수립까지 체계적인 도입 프로세스를 제시하며 제로트러스트 협의체 ‘제티아(ZETIA)’를 통해 업계 협력도 강화하고 있다.

이봉준 SK쉴더스 수석은 20일 서울 중구 전국은행연합회 은행회관에서 디지털데일리가 주관하는 ‘디지털 신뢰 새 패러다임, 제로트러스트 적용 전략 콘퍼런스’에서 국내 제로트러스트 도입 현황과 SK쉴더스 방법론을 소개했다.

이 수석은 “비대면 디지털 전환이 확산하면서 내부망 보호만으로는 부족한 시대가 됐다”며 “클라우드와 서비스형소프트웨어(SaaS) 서비스가 늘어나고 AI 활용이 확대되면서 기존 경계 기반 보안 모델 한계가 드러나고 있다”고 진단했다. 특히 “AI를 제대로 활용하려면 망 분리가 오히려 방해가 되는 상황”이라며 “많은 기업들이 망 분리 환경에서 AI 활용 방안을 고민하고 있다”고 설명했다.

산업계 오랜 기간 적용되던 경계형 보안 모델은 신뢰할 수 있는 사용자들끼리 한데 묶어 경계를 치고 보안을 적용하는 방식이다. 단 이 방식은 한번 보안이 뚫리면 막기 어렵다는 단점이 있다. 매년 랜섬웨어 피해가 끊이지 않는 것도 이런 이유에서다. 이 수석은 기존 블랙리스트 방식에서 화이트리스트 방식으로의 전환, 즉 제로트러스트 모델 도입이 필요하다고 강조했다.

현재 글로벌 기업들의 제로트러스트 도입은 활발하다. 시장조사기관 가트너에 따르면 전 세계 조직 63%가 제로트러스트 보안 전략을 이미 도입했다. 구글, 마이크로소프트, 팔로알토 등 주요 기업들도 적극적으로 솔루션을 개발하고 있다. 반면 국내는 옥타APAC 보고서 기준 8% 수준에 그치고 있다.

다만 국내에서도 변화의 움직임이 감지된다. 한국인터넷진흥원(KISA)은 작년 12월 제로트러스트 가이드라인 2.0을 발표했다. 이는 기존 1.0 버전에서 성숙도 단계를 보완하고, 국내 환경에 맞는 구체적인 도입 방법론을 제시했다. 한국은행은 망 개선을 위한 제로트러스트 기반 컨설팅 사업을 진행 중이며, 올해 안에 실제 구축 사업이 시작될 예정이다.

SK쉴더스는 이러한 상황에서 ‘SKZT’ 방법론을 개발했다. 이는 크게 ▲성숙도 평가 ▲환경 구축 ▲운영체계 수립 3단계로 구성된다. 성숙도 평가는 조직 제로트러스트 구현 수준을 객관적으로 측정하고 개선 방향을 제시하기 위한 평가 체계다. 구현 수준은 R0단계부터 R3 단계까지 총 4단계로 구성되며, 각 단계별로 요구되는 보안 수준과 기능을 정의한다.

성숙도 평가는 약 190여개 항목을 통해 기업 현재 수준을 진단하고, 이를 토대로 마스터플랜을 수립한다. 이 수석은 “대부분 기업이 R1 수준으로 평가되는데, 이는 자연스러운 현상”이라며 “처음부터 제로트러스트를 적용하고 있는 기업은 거의 없기 때문”이라고 설명했다.

환경 구축 단계에서는 ▲사용자 상태 기반 인증 및 접근제어 ▲데이터 중요도 기반 차등 등급부여 통제 정책 ▲내외부 인프라 구분 없는 접근 통제 ▲제로트러스트 환경 위협대응 체계 구현 등 4가지 핵심 영역을 중심으로 진행된다.

사용자 기반 인증 접근 제어를 통해선 특정 사용자의 특정 리소스 접근을 안전하게 관리한다. 내외부 인프라 접근 통제는 임직원 안전한 접근을 보장하며, 데이터 기반 차등 등급 부여는 최근 국가정보원이 발표한 국가망보안체계(National Network Security Framework·N²SF) 가이드라인에서 강조되는 부분이다. N²SF 주요 개념은 정부 전산망을 업무 중요도에 따라 ‘기밀(Classified)’, ‘민감(Sensitive)’, ‘공개(Open)’로 나눈다.

SK쉴더스는 이미 여러 금융권 기업들과 제로트러스트 구축 사업을 진행 중이다. A사의 경우 5년간 장기 계획을 수립하고 사용자 인증 부분부터 단계적으로 도입을 시작했다. B카드사는 통합인증(SSO)과 통합계정·권한관리(IAM)를 중심으로 내부 리소스 접근 체계를 구축 중이다. C은행은 소프트웨어정의경계(SDP)를 활용해 멀티클라우드 환경의 사용자 인증을 강화하고 있다.

또한 SK쉴더스는 10개 기업이 참여하는 제로트러스트 협의체 ‘제티아’를 주도하고 있다. 제티아는 각 참여사가 전문 영역을 담당하며, 제로트러스트 도입을 위한 협력을 강화하고 있다. SK쉴더스는 자사 화이트해커 조직 ‘이큐스트(EQST)’를 통해 침투 시험 등을 진행하고 있다.

이 수석은 “제로트러스트는 1~2년 만에 완성할 수 있는 것이 아니라 지속적인 발전이 필요한 분야”라며 “SK쉴더스는 기업들의 점진적이고 체계적인 전환을 지원할 것”이라고 강조했다.