[기고] `제로 트러스트` 도입은 지상명령이다

이원태 한국인터넷진흥원장

고대 그리스 신화에서 트로이 목마는 그리스 원정대가 트로이와의 전쟁에서 결정적 승리를 거두게 되는 핵심 요인이다. 트로이 목마의 본질은 그리스 군이 숨어있는 거대한 목마를 트로이 군이 스스로 성안으로 가져간 것에 있다. 결국 내부의 방심으로 10년간 최선을 다해 지켜왔던 성벽이 허무하게 무너지며 전쟁은 그리스의 승리로 막을 내렸다.

지난 3월 발생한 랩서스 해킹의 경우도 크게 다르지 않다. 최선을 다해 지켜왔던 글로벌 IT 기업 및 굴지의 대기업들의 성벽은 기업 임직원의 계정정보라는 믿을만한 껍데기 덕에 하릴없이 무너져 내렸고 해커집단 랩서스는 승리했다. 예나 지금이나 성벽은 적으로부터 나를 지키기에 너무나 중요한 경계이지만 AI 등 기반의 공격 기술로 무장한 디지털 시대가 빠르게 도래하면서 이제는 성벽만으로 내 것을 지키기에는 너무 복잡한 시대가 되었다.

"Never Trust, Always Verify"라는 원칙을 기반으로 '접근 주체의 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, 절대 신뢰하지 말고 계속 검증하라'라는 보안 개념인 제로 트러스트가 다시 주목받고 있다. 제로 트러스트는 해커가 네트워크 내·외부 어디든 존재할 수 있으며, 모든 접속 요구를 신뢰하지 않고 이를 지속적으로 검증하는 개념이다. 설령 성벽이 뚫렸다 하더라도 성안의 모든 정보가 털리지 않도록 분할 관리하고 이상 행위 여부를 모니터링하고 대응하는 각 보안 자원을 연계해 통합적인 관리체계를 구축하는 것이다. 이미 미국 등 주요 선진국들은 제로 트러스트 보안 체계로 빠르게 전환하기 위해 국가 차원의 전략 및 대응 방안을 마련하고 있다. 바이든 행정부는 2021년 5월 행정명령(EO-14028)을 발표했으며, 2024년까지 연방정부가 제로 트러스트 도입을 완료할 수 있도록 예산 계획 제출 등을 요구했다. 또한, 팔로알토 네트웍스, 시스코, IBM 등 글로벌 IT기업들도 각 기업이 보유한 보안 솔루션 간 상호 연동을 골자로 한 제로 트러스트 아키텍처 실증 프로젝트(NIST SP 1800-35)를 진행 중이며, 구글 클라우드, MS 등 글로벌 빅테크 기업들은 이미 7~8년 전부터 자체적인 제로 트러스트 아키텍처를 구축·운영 중이다. 이렇듯 주요 선진국들이 앞다투어 제로 트러스트 구현에 국가적 차원의 역량을 집중하는 이유는 무엇일까. 먼저, AI와 클라우드 그리고 IoT와 같은 기술들로 재편되고 있는 4차 산업혁명에서는 더 이상 단편적인 보안 솔루션과 제품만으로는 기업의 자산을 안전하게 지킬 수 없기 때문이다. 특히 대기업일수록 수많은 보안장치를 보유하고 있지만, 오히려 너무 많은 솔루션들을 확인하고 관리하는 것이 더 일이 되어버렸다는 어느 보안업계 관계자의 말처럼, 이들 장치는 연계되어 하나의 몸으로 움직여야 더 효율적으로 보안을 강화할 수 있다.

또한 시장의 판도가 점점 승자 독식으로 귀결되는 미래 시장에서 보안 솔루션의 상호 연동을 기반으로 하는 제로 트러스트 아키텍처를 누가 선점하느냐에 따라 영원한 승자와 패자로 나뉠 수 있는 상황이 펼쳐지고 있다. 특히 글로벌 클라우드 업체를 중심으로 점점 더 보안이 내재화되고 있어 여기에 연동되지 못하는 기업의 제품과 서비스는 민간 분야 시장에서 설 자리가 점점 줄어들고 있다.

제로 트러스트는 철학과 신념에 기반한 긴 여정이다. 하지만 우리 국내 보안기업들에는 시간이 많지 않다. 산학연이 협력해 다양한 산업 분야에 제로 트러스트를 도입하고 의미 있는 실증 경험을 차곡차곡 쌓은 후 이를 기반으로 한국형 제로 트러스트 모델을 도출할 필요가 있다. 이를 통해 국내 기업들은 글로벌 빅테크 기업들의 의존도를 낮추고 국내 정보보호 기업들은 새로운 성장의 기회로 삼아야 할 것이다.

지금까지 그래왔던 것처럼 단품 위주의 제품, 서비스와 영세한 규모로 공공부문 매출에만 의존하는 행태로는 더 이상 보안산업의 미래는 없다. 산업계와 학계가 모두 힘을 합쳐 환골탈태의 노력을 해야 제로 트러스트가 비로소 우리의 신성장 동력이 될 수 있다. 정부 또한 글로벌 빅테크 기업 위주로 빠르게 재편되고 있는 절박한 사이버 보안 환경 속에서 국내 기업들이 글로벌 경쟁력을 가지고 제로 트러스트라는 신시장을 선점할 수 있도록 연구개발, 실증·시범사업 등에 대한 지원을 아끼지 않고 있다.

한국인터넷진흥원은 과학기술정보통신부와 함께 2022년 10월 산·학·연·관 전문가로 구성된 '제로 트러스트 포럼'을 발족해, 국내 환경에 적합한 제로 트러스트 보안 모델의 필요성에 대한 공감대를 형성하고 있다. 지난 6월부터 국내 보안기업들과 함께 기존 경계형 보안 체계에서 동작하는 보안 솔루션을 제로 트러스트 원칙에 맞게 개선하고, 개별 운영되던 보안 솔루션 간 상호 연동 및 통합 관리체계를 구축하기 위한 제로 트러스트 실증사업을 추진하고 있다.

또한 7월에는 기업 경영진, 보안 담당자 등의 원활한 의사 결정을 돕기 위해 '제로 트러스트 가이드라인 1.0'을 발간했다. 올해 실증사업 의 성과를 반영하고, 국내외 관련 기술 동향을 분석해 '제로 트러스트 가이드라인'을 지속적으로 보완·발전시킬 계획이다. 이뿐만 아니라 국내 다양한 네트워크 환경을 반영할 수 있는 제로 트러스트 보안 모델을 계속해서 발굴하고, 발굴된 모델에 대한 보안 취약점을 확인하는 등 제로 트러스트 기반 보안 체계의 효과성을 입증하는 노력을 통해 다양한 산업 분야에 보급·확산시킬 계획이다.

여러 가지 측면에서 살펴보면 우리를 지켜줄 수 있는 성벽은 이미 무너졌다. 우리 보안산업이 오늘의 안전에 취해 한 치 앞을 보지 못했던 신화 속의 트로이군이 되지 않기를 간절히 바란다.