[아이티데일리] 사이버 보안의 새로운 패러다임인 ‘제로 트러스트(Zero Trust)’가 국내에서도 본격적인 확산을 위해 기지개를 펴고 있다. “절대 믿지 말고, 항상 검증하라(Never Trust, Always Verify)”로 요약되는 제로 트러스트 보안은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 가이드라인을 발표하고 실증사업을 진행하면서 마중물을 부었다. 그리고 올해는 지난해보다 한층 확대된 규모로 시범사업을 진행, 이를 통해 본격적인 제로 트러스트 보안의 확산이 기대된다. 이제 보안 담당자들은 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 제로 트러스트 보안을 본격적으로 구현하고자 관심을 집중하고 있다.

이 같은 분위기 속에서 본지(컴퓨터월드/IT DAILY)는 6월 11일 서울 양재동 엘타워에서 “제로 트러스트: 이제는 확산이다”를 주제로 ‘2024 정보보호 솔루션 컨퍼런스’를 개최했다. 행사는 국내 제로 트러스트 보안을 주도하는 기업들의 발표를 통해 독자들이 제로 트러스트 보안의 개념부터 아키텍처, 구현 전략, 평가 모델, 핵심 솔루션 등을 한자리에서 이해하고, 관련 솔루션들의 시연까지 경험해 볼 수 있는 자리로 꾸며졌다.

“제로 트러스트 기반 클라우드 환경의 계정 관리 서비스 SHIELD ID”

오전 마지막 발표로 소프트캠프의 강대원 본부장이 ‘제로 트러스트 기반 클라우드 환경의 계정 관리 서비스 실드아이디(SHIELD ID)’를 주제로 연단에 올랐다. 강대원 본부장은 “아이덴티티 관리가 제로 트러스트 보안의 시작점”이라고 운을 떼면서 최근 자사가 출시한 제로 트러스트 기반의 ICAM(자격 증명 및 액세스 관리) 및 IDP(아이덴티티 프로바이더) 솔루션 ‘실드아이디(SHIELD ID)’를 소개했다.

실드아이디 솔루션은 국내 컴플라이언스에 부합하는 다양한 인증 수단을 지원한다. QR코드, FIDO2 U2F, 지문, OTP, 웹 인증(Web Authn), SMS 및 이메일, 간편 인증, 소셜 로그인까지 폭넓다. 특히 클라우드 환경에 적합한 사용자 인증 솔루션으로서 모든 클라우드 계정 및 권한을 중앙에서 관리할 수 있고, 서비스별로 제로 트러스트 기반의 조건부 적응형 접근통제(ZTCA)를 지원한다. 내부의 LDAP, AD, 인사DB 뿐만 아니라 ‘애저 AD’ 등 클라우드 환경의 인사정보 소스까지 통합해 계정 관리를 할 수 있다. 클라우드 SaaS(서비스형 소프트웨어) 및 업무 시스템에 대한 사용자 인증을 싱글사인온(SSO)으로 할 수 있고, 과학기술정보통신부의 제로 트러스트 가이드라인을 준수한다. 클라우드뿐만 아니라 기업 내부 설치형으로도 서비스 제공이 가능하다.

소프트캠프는 또한 다양한 제품을 활용해 SaaS 사용을 통제할 수 있도록 지원하고 있다. 먼저 강대원 본부장은 원격 브라우저 격리(RBI) 기술을 소개했다. RBI는 서버상의 가상 브라우저를 통해 인터넷에 접속하고, 사용자 브라우저에서는 접속한 화면을 픽셀 스트리밍으로 전송받는 기술이다. 브라우저 격리 기술은 최근 들어 웹 기반 공격에 대응할 수 있는 가장 효과적인 방법으로 꼽히고 있다. 강 본부장은 “챗GPT에 일급비밀을 업로드할 수 있어 보안 문제가 지적되고 있는데, RBI 기술을 활용하면 사용자가 인증한 후 정보를 입력할 수 있도록 할 뿐만 아니라 입력한 정보를 바로 보내지 않고 RBI에서 개인정보와 민감정보를 식별해 차단할 수 있게 할 수 있다”고 설명했다.

소프트캠프는 리모트 브라우저 기능을 포함하는 제로 트러스트 조건부 적응형 접근통제(ZTCA) 정책 기반의 보안 원격 접속 솔루션 ‘실드게이트(SHIELDGate)’를 제공하고 있다. 뿐만 아니라 문서 저장에 대한 보안을 중계하는 ‘실드라이브(SHIELDrive)’, 문서 보안 솔루션 ‘실디알엠(SHIELDRM)’, 유입문서 무해화(CDR) 솔루션 ‘실덱스 파일(SHIELDEX File)’ 등 다양한 솔루션으로 사내 업무 시스템 전체에 대한 보안을 책임지고 있다.

강대원 본부장은 “소프트캠프는 마이크로소프트 팀즈(Microsoft Teams)나 코파일럿(Copilot)과 같은 최신 생성형 AI 솔루션까지를 포함, 내외부 사용자가 SaaS를 사용할 때 인증에서부터 접속, 문서 활용, DRM 등까지의 전 과정을 아우르는 솔루션 제품군을 갖추고 있다”고 소개하며 발표를 마쳤다.