"정부가 물꼬 터줘야"…'제로트러스트' 보안 대중화되려면

송종호 2022. 10. 30. 09:50
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

'아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스템을 구성하는 '제로트러스트' 전략이 주목을 받고 있다.

이를 통해 한국형 제로트러스트를 만들어 국내 사이버 보안 역량을 강화할 수 있을 것으로 봤다.

아직 제로트러스트에 대한 명확한 정의가 없어 기업 입맛대로 하다 보니 전혀 다른 방향으로 보안 모델을 구축한다는 의미다.

보안 포럼은 제로트러스트와 공급망 보안 분과별로 구성됐다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

기사내용 요약
민간서 참고 사례 부족해 제로트러스트 모델 도입에 어려움 지적
“실증 사례 제공하고 민간이 적극 도입할 수 있는 환경 조성 우선돼야”
“한국형 제로트러스트 구축으로 나가야”…갈라파고스식 모델은 피해야

최근 새로운 접근에 대해서는 단계마다 확인해 권한을 부여하는 ‘제로트러스트’ 보안 모델이 주목받고 있다. (사진=뉴시스 그래픽)

최근 새로운 접근에 대해서는 단계마다 확인해 권한을 부여하는 ‘제로트러스트’ 보안 모델이 주목받고 있다. (사진=뉴시스 그래픽)


[서울=뉴시스]송종호 기자 = # “민간에 도입사례가 너무 없어 중간에 그만뒀습니다.” 한 중견기업의 보안담당자인 A씨는 최근 사내 회의 때 보고할 제로트러스트'(Zero Trust) 사례를 찾다가 중단했다며 이같이 토로했다. 그는 여러 보안행사에서 제로트러스트 개념을 접하고 이를 사내에 도입하고자 했다. 하지만 그는 “회사 경영진을 설득하기 위해 필요한 도입 사례가 적었다”고 털어놨다. 결국 단계마다 접근 권한을 인증하는 불편을 감수하더라도 제로트러스트를 도입해야한다는 그의 제안은 회의 안건에 포함되지 못했다.

'아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스템을 구성하는 ‘제로트러스트’ 전략이 주목을 받고 있다. 과거 강력한 보안시스템을 자랑하는 글로벌 기업들조차 내부 직원들의 계정 관리 허점을 타고 들어오는 공격에 속수무책으로 당하면서다.

'제로트러스트;는 아주 믿을만한 직원의 계정이라도 시스템마다 접근 권한을 달리 부여하고, 실제 접근이 이뤄질 때마다 상대를 검증하는 보안 모델로 날로 지능화된 사이버 공격에 대응하기 위한 최적의 보안 대책으로 꼽히고 있다.

하지만 제로트러스트를 실제 업무 현장에서 도입하기에는 참고 사례나 가이드라인이 부족하다는 지적이다.

“실증 사례 부족한 문제점, 정부가 주도해 개선해야”

이 같은 상황에서 전문가들은 정부가 주도적으로 나서 제로트러스트 개념을 정립하고, 민간에 도입을 유도할 수 있는 환경 조성이 필요하다는 데 입장을 같이했다.

우선 기업이 새 보안 모델 적용을 위해서는 참고할 사례가 부족하다는 지적이다.

이석준 가천대학교 스마트보안학과 교수는 “민간이 제도도입을 위해 실증, 기술개발 등을 해야 하지만 사례가 없어 어려움이 있다”라며 “결국 제로트러스트를 도입할 때 비용이나 기간을 얼마나 소요되는지, 어떤 과정을 거쳐야 하는지 등에 대한 예측이 힘들다”고 짚었다.

이를 해결하기 위해서는 결국 정부가 주도적으로 나서 민간이 제로트러스트를 적극적으로 도입할 수 있는 환경 조성이 필요하다는 주장이다.

이 교수는 “국가적인 제로트러스트 도입을 위한 정책이 필요하다”며 “정부가 주도적으로 나서서 실증도 하고 (도입) 효과를 예측할 수 있는 형태로 제안할 수 있는 전략이 마련돼야 한다”라고 말했다.

이를 통해 한국형 제로트러스트를 만들어 국내 사이버 보안 역량을 강화할 수 있을 것으로 봤다. 이 교수는 “미국이 제로트러스트 모델 수립 과정에서 가장 앞서 있지만 실제 현장에서 제대로 검증된 사례는 많지 않다"며 “한국도 늦지 않았기 때문에 한국형 제로트러스트 모델을 만들어 갈 수 있다”라고 밝혔다.

“갈라파고스식 모델 구축은 지양”…국제 기준서 통하는 K-제로트러스트 필요

다만 전문가들은 한국형 제로트러스트를 구축할 때 국내 전용으로 구축되는 것을 경계해야 한다고 제언했다.

김영랑 프라이빗테크놀로지 대표는 “한국형 제로트러스의 표준적 정의가 이뤄지길 기대한다”라며 “일부 제로트러스트를 한다고 하는 기업들을 보면 제대로 된 제로트러스트 방향과 다른 곳도 있다”라고 꼬집었다. 아직 제로트러스트에 대한 명확한 정의가 없어 기업 입맛대로 하다 보니 전혀 다른 방향으로 보안 모델을 구축한다는 의미다.

김 대표는 “이에 갈라파고스식 제도가 아니라 글로벌 시장에 맞출 수 있는 제도 도입이 필요하다”고 역설했다.

그는 미국의 사례를 참고해 개선된 제로트러스트 모델을 구축할 수 있을 것으로 전망했다. 그는 “(미국 등의 모델을) 그대로 따라 하기보다는 좀 더 앞선 기술 형태로 갈 수도 있다”며 “미국이 먼저 시작했기 때문에 먼저 발생한 문제점을 파악해 보완된 제로트러스트를 구축할 수 있을 것”이라고 말했다.

제로트러스트 제도를 효과적으로 운용하기 위해서는 조직 경영진들의 이해가 뒷받침해줘야 한다는 의견도 있었다. 신종회 엔씨소프트 정보보안센터장은 “기술과 조직은 함께 움직여야 한다”라며 “아무리 좋은 보안 모델을 도입해도 조직의 이해도가 부족하면 제대로 기능을 구현할 수 없다”고 강조했다.

한편, 과학기술정보통신부와 한국인터넷진흥원(KISA)은 ‘제로트러스트·공급망 보안 포럼’을 발족했다. 보안 포럼은 제로트러스트와 공급망 보안 분과별로 구성됐다. 또 앞으로 보안 포럼은 정책·제도, 기술·표준과 산업 등의 관점에서 관련 현안에 대해 논의하고 연구·실증사업 등을 검증하는 역할을 맡는다. 궁극적으로는 제로트러스트 국가 표준화를 추진한다는 계획이다.

☞공감언론 뉴시스 song@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
뉴시스에서 직접 확인하세요. 해당 언론사로 이동합니다.