[제로 트러스트 현주소] <下> 보안 기업들 제로 트러스트 도입 ‘속도’

[SRT(에스알 타임스) 문재호 기자] 정부가 지난 3일 제로 트러스트(철통 보안) 가이드라인 2.0을 내놨다. 지난해 6월 ‘제로 트러스트 가이드라인’ 1.0 제정 이후 1년 반 만이다. 

제로 트러스트 개념은 미국 바이든 행정부가 지난 2021년 '국가 사이버안보 개선'에 관한 행정명령(EO 14028)을 발표하며 처음 등장했다. 백악관 예산관리처(OMB)는 행정명령을 통해 각 기관장들이 2024년 말까지 제로 트러스트 보안을 위한 계획과 예산추정치를 직접 제출하고 예산을 확보하도록 했다. 최근 영국, 일본, 싱가포르, 캐나다, 중국 등도 도입을 서두르며 전 세계적으로 확산되고 있다.

◆ 과기부, 실증 사업 추진…망 분리 완화 맞춰 확산될 듯

우리나라는 지난해 하반기 제로 트러스트 1차 실증 사업을 추진한 이래 올해 2번째 실증 사업을 진행 중이다. 일례로 지니언스와 수산아이앤티, 퓨처텍정보통신으로 구성된 지니언스 컨소시엄은 과기정통부와 한국인터넷진흥원이 올해 발주한 ‘제로 트러스트 도입 시범사업’을 수주해 수요기관인 에스트래픽 등에 제로 트러스트 범용성을 실증적으로 검증하고 있다.

제로 트러스트 보안 체계는 민간뿐만 아니라 정부와 공공기관에서도 수요가 감지되고 있다. 국가 사이버 보안 주무기관인 국가정보원(이하 국정원)이 지난 9월 다층보안체계(MLS) 로드맵을 공개하며 데이터 기반으로 국가 망 분리 체계를 개선하겠다고 두 팔을 걷어붙인 상태다. 망 분리 규제 완화로 클라우드 사용이 촉진되면 발생하는 새로운 보안 위협이 따르는 만큼 제로 트러스트 기반 보안 체계가 각광받을 수 있기 때문이다. MLS는 데이터를 업무 중요도에 따라 등급을 기밀정보(C, Classified), 민감정보(S, Sensitive), 공개정보(O, Open)로 구분하고, 등급별 차등적 보안 적용을 골자로 한다. 이러한 MLS 보안 체계를 보완해 주는 기술로 제로 트러스트 구성(아키텍처)이 꼽힌다. 제로 트러스트 아키텍처 보안 모델은 모든 사용자를 신뢰하지 않고 철저한 확인을 통해 필요한 만큼의 접근 권한을 제공한다.

MLS와 제로 트러스트 보안 모델은 데이터 보호 및 접근 관리의 효율성 강화 측면에서 상호보완적인 개념이다. MLS 기반으로 공공 시스템 구축을 위해선 제로 트러스트 전략이 필수이기 때문이다. MLS 관련 사업이 커져야 제로 트러스트 공공 분야 신규 시장이 더 확대되는 셈이다.

◆ 국내 보안업계, 솔루션 연동 위해 ‘연합’ 구축

국내 보안업계도 제로 트러스트 시장 개화를 대비해 연합하며 공동 전선을 구축하고 있다. 제로 트러스트는 특정한 단일 보안 솔루션으로 구현할 수 있는 보안 모델이 아닌 만큼 연동성이 중요하기 때문이다.

보안 솔루션 개발사들은 보안 환경 진단을 토대로 조직에 최적화된 아키텍처를 설계한 뒤, 우선순위에 따라 보안 솔루션을 구축하는 작업이 필요하다. 이후 운영·관리 등 추가적인 작업도 구체화해야 해 상당한 시간이 소요될 수밖에 없다. 기업들이 연합을 구축하는 이유다.

한국정보보호산업협회(KISIA)가 지난 4일 서울 서초구 한국컨퍼런스센터에서 주최한 제로 트러스트 행사에서 한국제로트러스트위원회(코제타)에 가입한 공급 업체들은 각 사의 제로 트러스트 구축 전략을 공유했다. 코제타 회원으로 활동하는 제로 트러스트 공급 기업은 총 63개사다. 발표에는 SGA솔루션즈·모니터랩·이니텍·지니언스·파이오링크·프라이빗테크놀로지 등 주도로 구성된 컨소시엄 6개, 소프트캠프(단일 기업) 1개로 총 7개사가 참여했다.

SGA솔루션즈의 ‘SGA ZTA’는 2020년 미국 국립표준기술원(NISA)이 ZTA 표준으로 발표한 ‘NIST SP 800-207’의 원칙과 과기정통부의 ‘제로 트러스트 지침 1.0’에 입각해 구현했다. 모니터랩은 클라우드에서 사용하는 제로 트러스트형 네트워크 접속 보안(ZTNA) 솔루션 '아이온클라우드 SRA'에 이어 지난달 내부(온프레미스)구축형 ZTNA 솔루션 'AIZTNA'를 새롭게 선보였다. 지니언스는 재작년 제로 트러스트 솔루션 '지니안 ZTNA(Zero Trust Network Access)'를 출시하며 네트워크 접속 등 주요 솔루션에 제로 트러스트를 더했다. 파이오링크는 보안 스위치 기반의 네트워크 세부 분할(마이크로 세그멘테이션) 보안 기술을 활용해 제로 트러스트 솔루션을 구축했고, 소프트캠프의 실드게이트는 ‘원격 브라우저 격리 기술(RBI)’이 적용된 인터넷 접속 보안 서비스로 사용자가 신뢰할 수 없는 접속에 대해 제로 트러스트 보안을 구현한다. SK쉴더스는 제로 트러스트 방법론(SKZT)을 개발했으며, 향후 수요 기업의 네트워크, 시스템, 데이터 등 8가지 핵심요소별 성숙도 수준 진단을 통해 제로 트러스트를 구현할 수 있는 수준을 진단하는 컨설팅 서비스를 제공한다는 구상이다.

학계에서는 제로 트러스트 지침 2.0 발간에 이은 후속 조치로 제로 트러스트 보안 체계에 대해 인증 의무화가 이뤄져야 기업들도 조속히 도입할 것으로 보고 있다.

박춘식 아주대 교수는 “제로 트러스트 보안 인증 제도를 두고 정부기관이 보안관리체계인 정보보호인증체계(ISMS)을 도입할 경우 기업들의 참여와 도입이 늘어날 수 있을 것”이라고 말했다.