[아이티데일리] 사이버 보안의 새로운 패러다임인 ‘제로 트러스트(Zero Trust)’가 국내에서도 본격적인 확산을 위해 기지개를 펴고 있다. “절대 믿지 말고, 항상 검증하라(Never Trust, Always Verify)”로 요약되는 제로 트러스트 보안은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 가이드라인을 발표하고 실증사업을 진행하면서 마중물을 부었다. 그리고 올해는 지난해보다 한층 확대된 규모로 시범사업을 진행, 이를 통해 본격적인 제로 트러스트 보안의 확산이 기대된다. 이제 보안 담당자들은 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 제로 트러스트 보안을 본격적으로 구현하고자 관심을 집중하고 있다.

이 같은 분위기 속에서 본지(컴퓨터월드/IT DAILY)는 6월 11일 서울 양재동 엘타워에서 “제로 트러스트: 이제는 확산이다”를 주제로 ‘2024 정보보호 솔루션 컨퍼런스’를 개최했다. 행사는 국내 제로 트러스트 보안을 주도하는 기업들의 발표를 통해 독자들이 제로 트러스트 보안의 개념부터 아키텍처, 구현 전략, 평가 모델, 핵심 솔루션 등을 한자리에서 이해하고, 관련 솔루션들의 시연까지 경험해 볼 수 있는 자리로 꾸며졌다.

“제로 트러스트, 어떻게 적용할 것인가?”

점심식사 후 이어진 ‘2024 정보보호 솔루션 콘퍼런스’의 마지막 세션에서는 ‘제로 트러스트, 어떻게 적용할 것인가?’를 주제로 투이컨설팅의 김정욱 이사가 발표했다.

먼저 제로 트러스트와 관련, 글로벌 시장부터 살펴보면 범 정부 차원으로 제로 트러스트 관련 정책이 점진적으로 확대되고 있다. 마켓앤마켓 전망에 따르면 2023년 311억 달러에서 2028년 679억 달러로 이 기간 연평균 16.9% 성장할 것으로 기대된다. 국내에서도 과기정통부와 KISA, 국가정보원, 금융감독원 등이 각자 제로 트러스트 관련 정책을 마련, 정비해나가고 있는 상황이다. 이처럼 아직까지 제도적 상황이 준비 중인 만큼 보안 담당자들 역시 제로 트러스트에 대한 이해가 필요한 것이 사실이다. 김정욱 이사는 “인증 체계 강화, 마이크로 세그멘테이션, 소프트웨어 정의 경계, 이 3가지가 유기적으로 돌아가는 구조가 제로 트러스트의 완벽 구현 이미지라고 생각하고 있다”고 말하고 “여기에 더해 제로 트러스트 접근제어를 위한 논리 컴포넌트로 PEP, PDP, 그리고 PIP(정책 정보 지점)이 필요하다”고 덧붙였다.

기초적인 개념 설명에 이어 김 이사는 제로 트러스트에 대한 현실적인 질문에 대해 언급했다. 제로 트러스트가 무엇인지, 왜 바꿔야 하는지, 바꾼다면 기존의 것을 다 바꿔야 하는건지, 그리고 실제로 어떻게 적용해야 하는지 등이다. 포티넷 조사에 따르면 현재 고객들은 제로 트러스트가 필요하다는 것을 공감하고는 있으나, 도입을 위한 구체적인 가이드, 방법론이 없어 구현에 어려움을 호소하고 있다. 국내에서 진행된 한 설문에서도 제로 트러스트 보안 도입에 대해 절반 이상이 “의사는 있지만 구체적인 계획은 없다”고 답했다. 계획이 전혀 없다고 답한 경우도 17%에 달했다. 정보보호 투자는 법과 규정에 어긋나지 않을 정도로만 한다는 현실적 상황과, 정보보호 실무 인력이 소수 정예로 운영된다는 한계도 지적됐다. 즉 현재 제로 트러스트 보안 도입은 복잡하고 긴 시간이 소요된다는 점에서 쉽지 않고, 현재 성공 사례나 평가 체계가 잘 알려져 있지 않은 데다 내부적 반대에도 직면하고 있다는 점에서 장벽이 존재한다. 이에 김정욱 이사는 기존 보안 환경에서 제로 트러스트 철학을 적용하는 방법과, 시나리오를 기반으로 제로 트러스트를 적용하는 방법, 큰 범위부터 적용하고 이후 상세 적용하는 방법 등 3가지의 부분 도입 케이스를 제시했다.

이어 김 이사는 투이컨설팅이 수립한 성숙도 모델에 대해 설명했다. 해당 모델은 우선 제로 트러스트 성숙 수준을 핵심 영역별로 진단하고, 이에 따라 단계적 도달 목표를 설정한다. 그리고 목표 수준을 달성하기 위해 수행해야 할 과제를 도출하며, 이후 과제의 우선순위와 단계적 로드맵을 수립한다. 마지막은 과제를 프로젝트 또는 태스크포스(TF) 형태로 수행하는 단계다.

특히 투이컨설팅은 자사가 축적한 경험과 국내외 성숙모델을 참조해 자체 모델을 개발했다. 준비, 도입, 확산, 성숙, 최적화 등 5가지 단계로 성숙도를 평가하고 있으며 이는 △식별자/신원 △기기/엔드포인트 △네트워크 △시스템 △응용/워크로드 △데이터 등 6가지 영역과 가시성 및 분석, 자동화 및 통합, 거버넌스를 포함하는 3가지 교차 영역을 기반으로 측정된다.

이어 김정욱 이사는 제로 트러스트 접근법을 준비, 계획, 구현, 운영, 피드백 및 개선 등 5가지 단계로 나눠 소개했다. 준비 단계에서는 충분한 검토와 체계적인 준비를 통해 도입 계획을 수립하게 된다. 계획 단계에서는 성숙도 평가를 기반으로 제로 트러스트 도입 과제를 도출하고, 아키텍처를 설계한다. 구현 단계에서는 제로 트러스트 아키텍처 설계에 따라 적합한 솔루션을 선택한다. 이후 운영 단계와 피드백 및 개선 단계에서는 정책 시행에 대한 모니터링을 지속적으로 시행하면서 제로 트러스트 보안 적용을 확장해 나간다.

마지막으로 김정욱 이사는 “제로 트러스트 기술은 지속적으로 발전하고 다양화될 것이며 기술의 구현이 아닌 철학과 그 적용에 대한 고민이 우선돼야 한다. 그리고 한 번에 제로 트러스트 사상과 기술이 적용되는 것은 현실적으로 어려우며, 기존 보안 기술이 필요한 영역과 제로 트러스트 적용 영역이 단계적으로 확대되는 것이 바람직하다”고 설명하고 “기업/기관이 모두 동일한 방법으로 적용할 수 없고, 현재 수준을 정확히 평가하는 것부터 시작이다”라고 덧붙였다.