[아이티데일리] 사이버 보안의 새로운 패러다임인 ‘제로 트러스트(Zero Trust)’가 국내에서도 본격적인 확산을 위해 기지개를 펴고 있다. “절대 믿지 말고, 항상 검증하라(Never Trust, Always Verify)”로 요약되는 제로 트러스트 보안은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 가이드라인을 발표하고 실증사업을 진행하면서 마중물을 부었다. 그리고 올해는 지난해보다 한층 확대된 규모로 시범사업을 진행, 이를 통해 본격적인 제로 트러스트 보안의 확산이 기대된다. 이제 보안 담당자들은 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 제로 트러스트 보안을 본격적으로 구현하고자 관심을 집중하고 있다.

이 같은 분위기 속에서 본지(컴퓨터월드/IT DAILY)는 6월 11일 서울 양재동 엘타워에서 “제로 트러스트: 이제는 확산이다”를 주제로 ‘2024 정보보호 솔루션 컨퍼런스’를 개최했다. 행사는 국내 제로 트러스트 보안을 주도하는 기업들의 발표를 통해 독자들이 제로 트러스트 보안의 개념부터 아키텍처, 구현 전략, 평가 모델, 핵심 솔루션 등을 한자리에서 이해하고, 관련 솔루션들의 시연까지 경험해 볼 수 있는 자리로 꾸며졌다.

“SGA 제로 트러스트 컨설팅 및 SGA ZTA 구축 방안”

다음으로 SGA솔루션즈 전략기획팀 박재혁 차장이 ‘업무 중요도를 고려한 제로 트러스트 성숙도 평가 방법론 및 SGA ZTA 솔루션 전략’이라는 슬라이드를 기반으로 발표를 이어갔다. 박재혁 차장은 우선 간략하게 제로 트러스트의 개념에 대해 언급하고, 제로 트러스트 성숙도 모델에 대해 소개했다. 성숙도 모델은 현재 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA), 국내 KISA, 포레스터(Forrester) 등에서 각자 모델을 선보이고 있는 상황이다. SGA솔루션즈는 실제 사업을 하면서 성숙도 평가를 진행했던 경험을 공유했다.

SGA솔루션즈는 사내 직원인지, 재택근무자인지, 고객사인지 등과 같은 접근경로(use case)를 종합적으로 조사, 분석, 검토해 각 상황에 맞는 인프라와 보안 정책, 보안 기술 등을 확인하고 이를 제로 트러스트 성숙도 분석을 위한 기반으로 활용했다. 또한 보호해야 할 접근 대상 리소스를 시스템, 데이터, 애플리케이션 3가지로 분류하고 업무 중요도를 기준으로 리소스의 마이크로 세그멘테이션(micro segmentation) 및 중요도 기준 성숙도 수준을 적용하는 것을 목표로 성숙도 분석 모델을 설계했다.

뿐만 아니라 제로 트러스트 핵심 요소별로 성숙도 파악을 위한 체크리스트를 만들어 평가를 진행, 성숙도와 요구사항 간 갭(gap)을 도출했다. 업무 중요도 역시 상, 중, 하로 나눠 마찬가지로 체크리스트를 통해 성숙도-목표치 간 갭을 도출했다. 이러한 방법들을 통해 제로 트러스트 도입 기관 및 기업의 성숙도 현황을 파악하고 육각형 모델로 평가 결과를 도출, 목표한 제로 트러스트 성숙도에 도달할 수 있는 방안을 제시하고 있다.

SGA솔루션즈는 사용자 기기(PC)를 관리할 수 있는 통합 엔드포인트 관리(UEM) 솔루션과 PAM(권한 있는 접근 관리) 게이트웨이, ICAM(자격 증명 및 액세스 관리), ZTS(제로 트러스트 세그멘테이션) 등 다양한 부문의 솔루션을 보유하고 있고, 이러한 솔루션들을 통합해 풀 스택 제로 트러스트 구축이 가능한 ‘SGA ZTA’를 선보이고 있다.

박재혁 차장은 “제로 트러스트는 어떤 솔루션 하나를 도입해 완성할 수 없고, 단계별로 적용하며 보안 향상도를 높여나가야 한다”면서 “SGA솔루션즈는 2021년부터 NIST의 아키텍처를 기반으로 제로 트러스트 아키텍처(ZTA) 보안 사업을 해왔다. 엔터프라이즈 리소스에 접근하는 모든 사용자에 대한 강력한 신원 인증, 리소스에 접근하는 모든 사용자 디바이스에 대한 지속적 검증, 정책 엔진을 통한 동적 접근제어, 보호해야 할 모든 자산에 대한 보호 등을 제공할 수 있다”고 말했다.