[아이티데일리] 국내에서 한국항공우주산업(KAI)과 한국원자력연구원 등에서 해킹 공격 정황이 발견됨에 따라, 사이버 보안 강화가 화두로 떠오르고 있다. 특히 미국과 같이 국가가 주도해 장기적인 보안 전략을 수립해야 하며, 제로 트러스트 아키텍처(Zero Trust architecture)를 도입해야 한다는 목소리가 커지고 있다.

미국에서는 솔라윈즈(Solarwinds) 해킹 사고, 마이크로소프트 익스체인지 서버 취약점 사고 등 최근 사이버 보안 사고가 잇따라 발생하면서, 지난 5월 ‘국가의 사이버 보안 향상에 관한 행정 명령(Executive Order on Improving the Nation’s Cybersecurity)’이 발표됐다.

사이버 보안 행정 명령의 핵심은 ▲‘제로 트러스트 아키텍처’ 도입 ▲다중 요소 인증 및 암호화 채택 ▲연방 정부 사이버 보안 체계 현대화 등이다. 특히 미국 정부는 행정 명령을 발표할 당시, 정부가 규범을 정하고 주도해야 한다고 강조했다.

이 행정 명령에서 가장 주목해야 할 부분은 ‘제로 트러스트 아키텍처 도입’이다. ‘제로 트러스트’는 2010년 프레스터리서치의 존 킨더박(John Kindervag) 수석 애널리스트가 제안한 사이버 보안 모델로, ‘아무것도 신뢰하지 않는다’는 개념이다.

제로 트러스트는 기업 내·외부를 막론하고 적절한 인증절차 없이는 누구도 신뢰하지 않는 것이 기본 원칙이며, 접근이 필요한 사용자와 기기에만 리소스 접근을 허용하지만 접근 범위를 최소화해 보안 사고의 가능성을 줄인다.

한 조사 결과에 따르면, 글로벌 기업 중 44%는 제로 트러스트 네트워크 액세스(ZTNA)와 소프트웨어 정의 경계(SDP)를 접근 관리 보안 전략의 최고 기술이라고 답했다. 더불어 40%는 VPN을 ZTNA/SDP로 대체할 계획을 갖고 있다고 밝혔다. 이렇듯 이미 제로 트러스트 전략은 세계적인 트렌드로 자리 잡았다.

제로 트러스트를 구현하기 위한 방안도 속속 등장하고 있다. 대표적으로 화이트리스트 기반 보안 기술을 꼽을 수 있다. 화이트리스트는 블랙리스트와 반대되는 개념이다. 화이트리스트에 등록된 트래픽만 조직 네트워크망에 접속할 수 있도록 하며, 내부 직원도 허용된 리소스 및 앱에만 접근하도록 설정해 제로 트러스트를 구현할 수 있다.

국내에서도 제로 트러스트, 화이트리스트 기반 보안 기술에 대해 관심을 갖기 시작했지만, 추진되는 보안 사업 대부분이 기존 보안 체계 범주 속에 머무르고 있다. 조직의 보안 담당자들에게 새로운 보안 솔루션의 개념과 필요성을 설명해도, 기존의 보안 솔루션 기능을 요구하고 있다는 것이다.

디지털 뉴딜 정책의 일환으로 추진되는 K-사이버방역 정책 또한 국가 단위의 위협 인텔리전스 구축, 공급망 보안 강화 지원, 양자내성암호 등 신기술 확보와 같은 좋은 계획을 포함하고 있지만, 기존 보안 체계 범주를 벗어나진 못하고 있다.

이에 보안 업계에서는 글로벌 트렌드를 반영한 국가 차원의 보안 전략을 마련, 추진해야 한다고 강조한다. 보안의 경우 컴플라이언스와 밀접하기 때문에, 미국과 같이 국가가 주도해 보안 전략을 수립하고 추진한다면 보안 패러다임 변화를 이끌어낼 수 있을 것이라는 설명이다. 또한 제로 트러스트와 같은 글로벌 보안 트렌드에 반영한 국가 보안 전략을 마련한다면, K-사이버방역 정책의 목표인 ‘세계 최고의 디지털 신뢰 기반 국가를 실현’하는 것에도 한걸음 빠르게 다가갈 수 있을 것이다.