과학기술정보통신부가 제로 트러스트 가이드라인 1.0을 발표한 지 어느덧 1년이 지났다. 우리나라뿐만 아니라 미국 백악관에서도 2021년 정부기관 도입을 천명한 제로 트러스트가 무엇이고 국내 도입 현황은 어떨까. 이번 기획에서는 보안 업계에서 큰 화두가 되고 있는 제로 트러스트에 대해 살펴본다. <편집자주>
[SRT(에스알 타임스) 문재호 기자] 제로 트러스트(철통 보안)는 '인증 전까지 절대 신뢰하지 말고 항상 검증해라(Always Verify)'라는 원칙을 토대로 한 네트워크 보안 모델이다. 이 모델은 보안을 대하는 접근법이기 때문에 명확한 실체를 말하기는 힘들다.
우리나라와 미국 등 전 세계 주요 국가들이 제로 트러스트 보안 모델을 정부 기관에 도입하는 이유는 최근 10년 사이 보안환경에 큰 변화가 생겼기 때문이다. 과거에는 기업이나 정부의 내부 물리적 공간은 안전하다는 전제가 있었다. 기업이나 정부 조직 내부 인원들은 믿을 수 있고 심지어 내부에서 공격이 발생한다 하더라도 충분히 이에 대한 방비책이 갖춰져 있다고 가정한 ‘경계 보안 모델’을 활용했다. 대표적인 예가 군대 안에서 사용하는 인트라넷이다. 인트라넷은 인터넷 속의 작은 인터넷으로 특정 조직에서만 사용 가능한 `사내망`이다. 과거에는 회사 메일을 회사로 출근해서만 쓸 수 있고 회사 밖에서는 못 쓰는 경우가 많았다. 이 때문에 물리적으로 회사에 출근해야만 하는 경우가 비일비재했다. 당시에는 일종의 장벽을 세워 내외부를 구분하고 외부로 유출되는 일이 없을 것이라 가정하는 경계 보안 모델을 사용해 왔다.
그러나 코로나19 감염병 확산과 클라우드 시스템 도입으로 경계 보안 모델 작동이 원활하지 않게 됐다. 먼저 코로나19 발발로 회사 출근이 어려워지고 재택근무가 보편화됨에 따라 이전처럼 회사 1층 보안 문을 거쳐 회사에 출근해 회사 인트라넷을 활용할 수 없게 됐다. 이에 따라 기업도 기존 인트라넷 활용 업무 방식을 바꾸는 과정을 거쳤다. 이 과정을 거치며 경계 보안 모델의 근간인 경계 안과 밖 구분이 불분명 해졌다. 경계 보안 모델은 경계 안과 밖이 명확히 구분돼야 작동하는 모델인데, 안전지대와 위험지대 구분이 어려워지면서 이전과 같은 보안 체계 운영이 힘들어진 것이다.
경계 보안 모델이 어려워진 또 다른 요인은 클라우드 서비스의 일상화 때문이다. 2010년대 중후반 들어 개인뿐만 아니라 기업에서도 클라우드 서비스가 유행했다. 이에 따라 이전처럼 기업 내 서버실에 정보를 반드시 저장하기보다 클라우드에 올리면서 활용 가능한 자원이 회사 내부에 있는지 외부에 있는지 구분하는 경계선이 없어졌다. 더 이상 이전처럼 기업 내부는 안전하고 외부는 위험하다는 가정이 유효하지 않게 된 것이다. 이에 따라 등장한 게 ‘절대 신뢰하지 말고 항상 검증해라’라는 제로 트러스트 보안 모델이다.
◆ 정보보호 산업 다양한 변화 속 시장 커질 듯
국내 정보보호 산업의 성장세는 뚜렷하다. 관련 기업과 매출액이 눈에 띄게 증가하고 있다는 점이 그 방증이다. 제로트러스트 시장이 더 성장할 수 있음을 보여주는 대목이다.
과학기술정보통신부에 따르면 2023년 기준 국내 정보보호 기업은 지난해 같은 기간 보다 7.2% 늘어난 1,708개사로 이 가운데 정보보안 기업은 전년비 10.4% 증가한 814개사, 물리보안 기업은 전년비 4.3% 늘어난 894개사로 파악된다. 지난해 국내 정보보호 산업 전체 매출액은 전년비 4% 증가한 16조8,310억원이다. 작년 정보보호 산업 전체 매출액 가운데 정보보안 매출은 약 6조1,455억원 전년 대비 9.4% 늘었고 물리보안 매출은 약 10조6,856억원으로 전년 대비 1.2% 줄어든 것으로 조사됐다.
정보보안 분야는 네트워크 보안 해결책(솔루션), 보안 체계 유지관리·보안성 지속 서비스가 높은 성장세를 유지했다. 물리보안 분야는 출입통제 장비 등의 매출이 증가한 반면, 출동・영상보안 서비스 등의 매출이 감소했다. 정보보안 분야는 네트워크 보안 해결책(솔루션) 등의 수출이 감소했고, 보안 자문 및 보안관제 서비스의 수출이 증가했으며, 물리보안 분야는 보안용 카메라, 보안용 저장장치 수출이 감소한 반면, 생체인식 보안체계의 경우 전년에 이어 수출 성장세가 지속되고 있다.
김남철 과기정통부 정보보호네트워크정책관은 “제로트러스트의 도입과 인터넷 기반 자원공유(클라우드) 서비스의 확산으로 인해 보안 사고틀이 변화하면서, 정보보호 산업에서는 기술의 혁신과 인적 자원의 고도화, 제도 개선 등의 다양한 변화가 요구되고 있다”며 “보안 도입과 준수를 위해 사람 노동력(인건비)을 필요로 할 뿐만 아니라 보안 준수자 또한 이전과 다르게 스마트폰에 보안 스티커를 붙이는 등 물리적, 시간적 노력을 해야 할 것”이라고 밝혔다.
- 지난해 국내 정보보호 산업 매출 16.8조…전년 대비 4% 증가
- 아시아 최대 규모 보안 콘퍼런스 ‘ISEC 2024’ 성료
- 정보보안업계, 3Q 실적 전망 '맑음'...4Q도 흐름 이어가나
- 정보 보안 업계, 경쟁력 제고 위한 ‘얼라이언스’ 강화 중
- 망 분리 규제 완화 ‘가시화’…한싹, 연계 솔루션 ‘주목’
- 이광후 모니터랩 대표 “RBI·ZTNA 구축·구독형 모델 안착 목표”
- 파수, 안전한 협업 위한 ‘랩소디 에코’ 신규 버전 출시
- 아톤, 3분기 영업이익 38억…전년比 62.5%↑
- 과기정통부, 제로트러스트 가이드라인 2.0 발표
- [제로 트러스트 현주소] <下> 보안 기업들 제로 트러스트 도입 ‘속도’
- 조달 시장 강자 휴네시온, 올해도 성장가도 달린다