[NSIS 2025] 라온시큐어 “제로트러스트 열쇳말은 ‘연계’와 ‘사용자’”

실시간
뉴스

서비스

[NSIS 2025] 라온시큐어 “제로트러스트 열쇳말은 ‘연계’와 ‘사용자’”

디지털데일리 발행일 2025-05-20 15:50:19

유채리 기자

URL복사

김형관 라온시큐어 팀장이 20일 열린 'NSIS 2025’에서 발표하고 있다. [ⓒ디지털데일리]

[디지털데일리 유채리 기자] “제로트러스트의 핵심은 기존과 신규를 연계해 상호보완적으로 보안을 강화하는 것이다.”

김형관 라온시큐어 팀장이 20일 서울 중구 소공동 롯데호텔에서 디지털데일리가 주최한 ‘NSIS 2025(Next Security Innovation Summit 2025)’에서 이같이 말했다. 김 팀장은 이날 ‘제로트러스트와 하이브리드 환경에서의 보안 강화 전략: 사용자 중심의 보안 체계 구축 방안’을 주제로 발표했다.

라온시큐어는 금융, 공공, 일반 기업등을 대상으로 모바일·사물인터넷 통합 보안·인증 솔루션을 제공하는 기업이다. 아시아 정보보호 기업 최초로 ‘FIDO Alliance’ 이사회 멤버로 선임돼 활동 중이다. 올해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관하는 ‘2025 제로트러스트 도입 시범사업’에 선정돼 SSO 및 3차 인증수단(지문·생체·OTP 등)을 통한 사용자 인증 기술을 제공할 계획이기도 하다.

김 팀장은 “기존 보안 솔루션들이 있지만, 새로운 솔루션 역시 꾸준히 나오고 있다”면서 “본래 도입했던 제품을 폐기하고 새로 구축하는 게 아니라, 두 보안 솔루션의 연계성, 호환성을 함께 고려하는 게 중요하다”라고 강조했다.

보안 강화를 위한 ‘사용자’ 개념도 강조됐다. 보안의 시작은 사용자 식별이기 때문이다. 흔하게 사용되는 방법 역시 사용자가 입력한 패스워드 일치 여부다.

사용자의 정보 이용 방식도 중요하다. 제로트러스트 역시 이런 문제의식에서 출발했다. 내외부 가리지 않고 언제, 어디서든 보안 위협이 생겨날 수 있다고 가정하고, 끊임없이 검증해 정보 유출 사고를 막는다는 개념이다.

실제로 내부 직원에 의한 중요정보 유출·탈취 피해 유형이 가장 흔하다. 지난 2023년 SK쉴더스가 발표한 EQST 보안 트렌드에 따르면 중요정보유출 사고가 30%로 가장 흔하게 발생하는 유형이며, 그중 45.7%가 내부자에 의한 유출이다. 김 팀장은 “패스워드 문제뿐만 아니라 부주의한 관리에 의한 유출도 늘어나고 있다. 외부 환경에서 접속하거나 클라우드 등 다양한 채널에서 접속하며 일어나는 문제”라고 설명했다.

이 때문에 내부 통제 정책이 강화되고 있다. 금융권의 경우, 지난해 7월부터 임원 책임을 명확하게 규정한 ‘책무 구조도’를 시행하기 시작했다. 금융회사지배구조법 제24조에서 건전한 경영과 주주 및 이해관계자 등을 보호하기 위해 금융회사 임직원이 직무 수행 시, 준수해야 할 기준과 절차를 마련해야 한다고 규정하고 있기도 하다.

제로트러스트 개념을 도입한 내부 통제 관리 등 보안 가이드라인도 나오고 있다. 과학기술정보통신부와 한국인터넷진흥원(KISA)는 지난해 12월 제로트러스트 가이드라인 2.0을 발간했다. 기존 1.0의 한계점을 보완해 제로트러스트 도입 과정을 구체화하고 도입 과정을 구체화하고 도입 수준을 분석할 수 있는 실제적인 방안을 담았다.

이런 노력에도 보안 강화가 마냥 쉽진 않다. 망분리 정책으로 생성형 AI 등 SaaS 이용 제한 및 생산성 저하나 클라우드 이용 확대로 인한 SaaS 내 데이터 유출 및 비인가 접근 가능성 등 내외부적인 어려움이 있다.

김 팀장은 인증 통합 플랫폼을 해법으로 제시했다. 그는 “내외부 접근 사용자는 물론 홈페이지 관리자 기능 등 인증과 식별을 강화하는 추세”라며 “개인화된 인증방식을 적용하고 생체인증과 MFA 도입 등 트렌드에 맞춘 인증 플랫폼 도입도 활발하다”라고 이야기했다.

인증 통합 플랫폼을 도입할 때는 확장성이 중요하다고 강조하기도 했다. 김 팀장은 “이미 언급했듯 제로트러스트는 연계성이 핵심이다. 인증 통합 플랫폼 역시 기존 인증 수단이 새로운 인증 수단으로도 확장이 가능한지도 고민해야 한다”고 설명했다.

이어 그는 “라온시큐어는 원패스를 활용해 통합 플랫폼을 공급하고 있어 다양한 인증수단 확장 체계를 갖추고 있다”라며 “지금 개발되지 않은 인증 수단이라도 추후 새로 나왔을 때, 보안적으로 중요하고 도움된다면 안정적으론 확장해 도입할 수 있는지 고려할 필요가 있다”고 말했다.

김 팀장은 “핸드폰 사용이 일상이 된 만큼 모바일 기반 인증할 때의 웹 보안성, 백신, 안정성 등도 확인이 중요하다”라며 “통합해 관리한다는 게 장애가 발생했을 때 난관이 될 수도 있다. 비상시 어떻게 대응할지, 어떤 걸 중점으로 둘지 등을 고민하는 것도 핵심”이라고 강조했다.