[아이티데일리] 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관하는 2025년 제로 트러스트 도입 시범사업을 수행할 6개 컨소시엄이 확정됐다. 지난해 4개 대비 50% 확대된 6개 컨소시엄 체제로 출범한 올해 사업을 통해 국내 민간 부문의 사이버 보안 패러다임 전환이 본격화될 것으로 기대된다. 이번 시범사업은 과제당 최대 7억 원씩 총 42억 원 규모로 추진되며, 주로 금융권 수요처로 다수 포함된 가운데 그 외 다양한 산업 분야에서까지 제로 트러스트 보안의 실질적 적용과 검증이 이뤄질 예정이다. 특히 각 컨소시엄은 인공지능(AI) 클라우드 보안, 양자내성암호화(PQC), 소프트웨어 정의 경계(SDP) 등 차세대 보안 기술을 융합한 혁신적 접근으로 업계의 기대를 받고 있다. <편집자 주>

제로 트러스트, 보안 전략의 핵심으로 부상

최근 급변하는 디지털 전환기 가운데 랜섬웨어 공격과 데이터 유출 사고가 날로 심화되면서, 기존의 경계 기반 보안 모델의 한계가 명확히 드러나고 있다. 클라우드 기반 서비스와 모바일 기기 사용이 폭발적으로 증가하면서, ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’는 제로 트러스트 보안 패러다임의 도입은 선택이 아닌 필수로 부상했다.

이에 따라 우리 정부는 사이버 보안 업계가 새로운 패러다임 전환의 핵심으로 꼽는 제로 트러스트 보안을 확산하고자 기술적, 제도적 기반 조성에 적극 나서고 있다. 2023년 제로 트러스트 보안 모델의 적용과 실증을 위한 지원사업을 시작으로, 2024년에는 45억 원 규모로 4개 컨소시엄이 참여한 시범사업이 진행됐다. 그리고 올해 역시 42억 원 규모로 다소 예산이 줄긴 했지만 총 6개 컨소시엄으로 시범사업이 확대 진행된다.

특히 최근 국내 망분리 규제 완화 움직임과 국가정보원의 국가망보안체계(N2SF) 도입이 맞물리면서, 제로 트러스트 기반 보안 환경 구축에 대한 수요가 급증하고 있는 상황이다. 미국을 중심으로 본격화된 제로 트러스트 아키텍처가 한국에서도 가이드라인 발표와 포럼 발족을 통해 속도를 내는 한편, 클라우드와 인공지능(AI) 등 신기술 사용 요구에 힘입어 올해 망분리 규제 완화까지 이끌어내 보안 업계에는 많은 변화가 나타나고 있다. 이 때문에 차세대 보안 패러다임인 제로 트러스트에 대한 관심이 높은 상황이다. 6개 컨소시엄이 어떻게 이번 사업을 추진할지 상세히 들여다본다.

SK쉴더스 컨소시엄

“SaaS 환경 확대 맞춰 제로 트러스트 보안 모델 실증·확장”

KB국민은행 클라우드 시스템에 제로 트러스트 보안 적용

SK쉴더스 컨소시엄은 이번 시범사업에서 SaaS(서비스형 소프트웨어) 환경이 확대되는 추세에 맞춰 제로 트러스트 보안 모델을 SaaS 영역에 실증·확장하는 데 목표를 두고 있다. 최근 SaaS 서비스 사용이 급증하면서 이에 따른 보안 위협도 증가하고 있어, 제로 트러스트 기반의 보안 체계 구축이 더욱 중요해지고 있는 상황이라는 판단에서다.

SK쉴더스 관계자는 “강화된 인증체계, 마이크로 세그멘테이션, 소프트웨어 정의 경계(SDP) 등 제로 트러스트의 핵심 요소를 SaaS 기반 데이터 보안과 가시성 확보라는 관점에서 성숙도를 최적화하고자 한다”고 밝혔다.

이를 위해 수요기관인 KB국민은행은 클라우드 업무 시스템에 제로 트러스트 보안을 적용한다. 지난해 시범사업을 통해 구축한 기존 제로 트러스트 아키텍처를 올해는 SaaS 환경까지 확장하고, SaaS 사용자 식별, 업로드 데이터 암호화 및 레이블링, IT 자산의 취약점 점검 및 가시화, 위협 정보 탐지 등을 핵심 과제로 설정해 추진한다는 계획이다.

SK쉴더스 관계자는 “이번 사업을 통해 SaaS 전용 보안 체계를 강화함으로써, 생성형 AI나 M365 코파일럿(Copilot) 등 새로운 기술 도입 시에도 안전한 서비스 사용 환경을 마련할 수 있게 될 것으로 기대된다”면서 “이는 기관이 직면한 보안 위협에 대비하고, 클라우드 및 SaaS 서비스의 안전한 사용을 보장하는 데 중요한 역할을 할 것이다”라고 덧붙였다. 

기술력과 경험 갖춘 기업들 골고루 포진

SK쉴더스는 숙련된 관제 역량과 다양한 산업별 레퍼런스를 기반으로 이번 시범사업을 주관한다. 구축을 주도하면서 사업 전체 품질을 관리하며, 보안관제센터 데이터 수집, 위협평가 기법 모델링, 위협평가 연동 모듈 개발을 수행한다. 오랫동안 축적해온 보안 관제 노하우와 다양한 산업 분야의 경험을 바탕으로 이번 컨소시엄을 성공적으로 이끌어간다는 포부다.

넷츠(NETS)는 국내 IAM(아이덴티티 및 액세스 관리) 업계에서 가장 많은 전문 인력을 보유하고 있으며, 특히 클라우드 SaaS 환경의 계정 및 권한을 관리하는 특화 솔루션을 갖고 있다. 이번 시범사업에서는 계정, 권한, 인증 영역의 핵심 역량을 바탕으로 SaaS 앱 라이선스 관리, SaaS 앱 사용자 권한 관리, SaaS 앱 정책 관리, SSO 토큰 발행 등의 역할을 담당한다.

모놀리(Monoly)는 가트너가 클라우드 데이터 보호 모범 사례로 선정한 바 있는 기업이다. 팀즈(Teams), 슬랙(Slack), 세일즈포스(Salesforce) 등 글로벌 솔루션으로의 확장 가능성도 갖고 있다. 이번 사업에서는 SaaS 데이터 거버넌스를 통해 SaaS 환경에 대한 데이터 통제권을 보장하며, SaaS 데이터 원본 내부저장 원칙, SaaS 데이터 등급 및 레이블링 제어, SaaS 데이터 유통 통제를 담당한다.

소프트캠프(Softcamp)는 제로 트러스트 기반의 안전한 문서·데이터 협업 환경 구축 전문 기업으로, 정보보호 관리 체계에 대한 국제 표준 인증(ISO 27001)을 획득했으며 다수의 특허를 보유하고 있다. 20년 이상의 노하우와 다양한 레퍼런스를 바탕으로 이번 시범사업에서는 데이터 등급 레이블링, 데이터 사용 권한 제어, SaaS 데이터 암호화를 담당한다. 

자이온(XAION)은 AI옵스(AIOps)와 제로 트러스트 구현 역량을 보유하고 있으며, 데이터 관리(실시간 수집, 분석, 모니터링)에 특화된 기술을 보유하고 있다. AI, 클라우드, 빅데이터 인프라 구축의 컨설팅 역량을 바탕으로 이번 사업에서는 SaaS 보안 통합 대시보드, SaaS 데이터 유통 모니터링, 자산 모니터링 통합, 신뢰도 평가 데이터 확장을 담당한다.

“ZETIA 통해 제로 트러스트 산업 선순환 구조 조성”

SK쉴더스는 제로 트러스트 보안 체계의 구축과 고도화에 지속적으로 힘쓰고 있다고 강조했다. 2024년 발족한 ‘ZETIA(제티아) 협의체’가 이러한 노력을 증명한다. ZETIA는 총 11개 보안 전문 기업이 참여하는 협의체로, 공공·금융·제조·통신 등 다양한 산업 환경에 맞춤형 제로 트러스트 구현을 지원하고 있다.

ZETIA 참여 기업들은 ID/인증, 마이크로 세그멘테이션, SDP(소프트웨어 정의 경계), 로그 수집/분석, AI 이상징후 분석 등 제로 트러스트의 5대 핵심 영역을 분담하고 있다. SK쉴더스는 협의체 운영을 주도하며 전략 수립과 성숙도 모델 개발을 담당하고 있다. 

SK쉴더스는 ZETIA 협의체 및 보안 기업들과의 지속적인 협력을 통해 제로 트러스트 아키텍처 표준 모델을 구현하고, 검증하여 제로 트러스트를 도입하고자 하는 기업에게 최상의 가이드를 제공한다는 계획이다. SK쉴더스 관계자는 “이러한 전략을 기반으로 제로 트러스트 보안 산업의 전반적인 성장을 견인하고, 중소 보안기업과의 상생 협력을 적극 추진해 산업 전반의 경쟁력을 함께 높이는 선순환 구조를 만들어갈 방침”이라고 밝혔다.