[ZT콘퍼런스] SGA솔루션즈 "제로트러스트, 단순 제품 아닌 아키텍처…첫 시작은 컨설팅"

실시간
뉴스

보안

[ZT콘퍼런스] SGA솔루션즈 "제로트러스트, 단순 제품 아닌 아키텍처…첫 시작은 컨설팅"

디지털데일리 발행일 2025-02-20 15:18:28

김보민 기자

URL복사

김광훈 SGA솔루션즈 전무가 20일 서울 중구 전국은행연합회에서 열린 '디지털신뢰 새 패러다임, 제로트러스트 전략' 콘퍼런스에서 ZTA 준비컨설팅을 주제로 발표하고 있다.

[디지털데일리 김보민기자] 제로트러스트 보안을 도입하기 전 조직 현황을 파악하는 컨설팅 작업이 우선시 돼야 한다는 의견이 나왔다. 단순 제품을 넘어 아키텍처 측면에서 접근하는 것이 중요해진 만큼, 보안 전문가와 함께 제로트러스트를 준비할 필요가 있다는 취지다.

김광훈 SGA솔루션즈 전무는 20일 서울 중구 전국은행연합회에서 <디지털데일리>가 개최한 '디지털 신뢰 새 패러다임, 제로트러스트 적용 전략' 콘퍼런스에서 "확실하게 제로트러스트를 구현하고 싶다면 준비 컨설팅을 하는 것을 추천한다"며 "정확하게 조직의 보안이 어디에 있는지, 그리고 앞으로 어디로 가야 하는지 확인할 수 있을 것"이라고 밝혔다.

준비 컨설팅은 업무 시스템을 대상으로 단계적 제로트러스트 적용 및 확대 방안을 제시하는 작업을 뜻한다. 보안 전문가가 조직 환경부터 미래 모델을 수립하는 전 과정에 제로트러스트 모델이 안착할 수 있도록 돕는 방식이다. 제로트러스트 도입에 어려움을 느끼는 기업이 정지 작업을 할 수 있도록 지원하는 단계인 셈이다.

김 전무는 "제로트러스트는 단순 제품이 아닌 아키텍처이고, 성숙도를 갖추고 있다"고 강조했다. 이어 "어떤 수준까지 (제로트러스트 수준을) 끌어올릴 수 있느냐가 중요한데, 정보기술(IT) 인프라는 단순하지 않고 복잡하다는 특징이 있다"며 "이러한 구조를 제로트러스트 아키텍처로 새롭게 변환할 수 있도록 하는 것이 준비 컨설팅"이라고 설명했다.

김 전무는 제로트러스트 아키텍처를 구현하는 방법으로 제로트러스트액세스(ZTA)와 제로트러스트네트워크액세스(ZTNA) 등 두 종류가 있다고 부연했다. 그는 "ZTNA의 경우 네트워크 단에서 접근제어를 하는 것이 핵심이라면, ZTA는 시스템과 엔드포인트 단에서 접근제어를 한다"며 "두 가지 모두를 합쳐서 제로트러스트 아키텍처를 구현할 수 있다"고 정의했다.

그 일환으로 SGA솔루션즈는 제로트러스트 아키텍처 또한 'ZTA'라고 칭하며 기업 내 사용되는 모든 시스템, 서비스, 애플리케이션 등 엔터프라이즈 리소스를 보호하기 위한 종합 제로트러스트 적용 방법론을 구현할 수 있다고 보고 있다.

ZTA 준비 컨설팅 단계로는 ▲환경 및 현황 분석(AS-IS) ▲갭(GAP) 도출 및 분석 ▲미래 모델 수립(TO-BE) ▲피드백·개선·확대 등을 꼽았다. 대상 업무와 시스템을 선정하고, 제로트러스트 요구사항을 도출한 뒤 제로트러스트 성숙도 모델 중 6대 핵심요소별 갭을 도출하고, 단계별 제로트러스트 확대 방안을 도출한 후 미래 모델 확대에 대한 피드백을 주는 방식이다.

이날 김 전무는 ZTA 준비 컨설팅의 사례를 소개했다. 그는 "네트워크가 어떻게 구성돼 있는지, 사용자가 네트워크 안에 있는지 밖에 있는지, 클라우드를 쓰는지 아니면 구축형(온프레미스)만 있는지 등을 분석하는 것이 시작"이라며 "사용자가 몇 명이 있는지 또한 제로트러스트 솔루션에 영향을 미치기 때문에 모든 것을 수집하고 분석하게 된다"고 말했다. 그 다음은 미래 모델을 수립하는 작업을 살펴볼 수 있다. 김 전무는 "디바이스가 위험도 평가를 해야 하기 때문에 위험도 점수에 따라 접속 여부를 결정하고, 백신 및 패치관리도 필요한 경우 설치해 적용하도록 할 수 있다"고 설명했다.

단계에 따라 제로트러스트 정책결정지점(PDP)과 정책시행지점(PEP)에 대한 구현 방안 또한 컨설팅을 통해 진행할 수 있다. 김 전무는 "PDP의 경우 시스템 내부에 설치하고, PEP에서 다중요소인증(MFA)를 적용하도록 할 수 있다"며 "관리자 보안이 필요한 경우, 높은 보안 점수가 필요하기 때문에 MFA를 적용할 수 있도록 하고 지문을 비롯한 추가 연동도 가능하게 할 수 있다"고 부연했다.

이후 시스템이나 애플리케이션 단에서 제로트러스트 개념을 검증하고, 파일과 데이터베이스(DB) 암호화 등 현황을 모니터링할 수 있도록 적용하는 것도 가능하다. 시각화, 초세분화(마이크로세그멘테이션), 효과성 분석, 업무 환경 위협 및 디바이스 검증 미흡 등 취약점 점검도 컨설팅에서 진단할 수 있는 영역이다.

김 전무는 이 과정에서 조직 현황과 제로트러스트 도입 효과성을 검토하는 '오버레이(Overlay)'를 조정해볼 수 있다고 강조했다. 지난해 12월 공개된 제로트러스트 가이드라인 2.0의 ISMS-P는 오버레이와 궤를 같이하고 있다. 김 전무는 "(일부 기업은) 이미 ISMS-P가 있는데 제로트러스트에 이를 어떻게 적용할지 질문하곤 한다"며 "제로트러스트와 오버레이를 통해 항목을 매핑할 수 있기 때문에 고민할 필요가 없다"고 제언했다.

한편 SGA솔루션즈는 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)이 발주한 '제로트러스트 보안 모델 실증사업'을 비롯해, 제로트러스트 도입 시범사업에 참여하며 국내 시장에 선두주자로 자리매김했다. 이외 한국제로트러스트협의회(KOZETA) 회원사로 활동하며 국내 시장 확장에 기여하고 있다.