[아이티데일리] 제로 트러스트(Zero Trust)는 사이버보안의 패러다임을 바꾸고 있다. 증가하는 공격 표면을 관리하고자 기업들은 데이터 중심으로 모든 요소를 검증하는 제로 트러스트 도입에 관심을 기울이고 있다.

공공 부문에도 보안의 새로운 바람이 불고 있다. 국가정보원이 준비하는 ‘국가 망 보안체계(National Network Security Framework, N2SF)’는 시스템·정보를 3등급으로 분류하고, 통제를 차등 적용하는 보안 프레임워크다. 20년간 이어진 망 분리 일변도의 공공 보안 정책이 N2SF와 함께 변화하고 있는 것이다.

본지(컴퓨터월드/IT DAILY)는 지난달 4일 서울 양재동 엘타워에서 ‘사이버보안의 뉴 패러다임, N2SF와 제로 트러스트’를 주제로 ‘2025 정보보호 솔루션 컨퍼런스’를 개최했다. N2SF와 제로 트러스트에 대한 독자들의 열띤 관심을 엿볼 수 있던 이번 행사 내용을 정리했다.

지니언스 이대효 상무는 ‘신 보안체계 발전을 위한 역할과 제언’을 주제로 발표했다. 지니언스는 네트워크 접근 제어(NAC) 솔루션 ‘지니안 NAC’를 중심으로 ZTNA, 엔드포인트 탐지 및 대응(EDR) 등으로 제로 트러스트 실현을 지원하고 있다.

미국에서는 제로 트러스트 적용이 본격화하고 있다. NIST는 2022년부터 3년간 상용 보안 제품으로 제로 트러스트 아키텍처를 만들 수 있는지를 검증했고, 그 결과를 지난 6월 ‘SP 1800-35’로 공개했다. SP 1800-35에는 24개 업체의 제품을 조합해 만든 아키텍처 19개가 예시로 담겼다.

하지만 국내에서는 아직 제로 트러스트 구현에 어려움을 겪고 있다. 보안 업체 간 솔루션 연동 체계가 부족해 확장성 있는 연동이 힘들기 때문이다. 이대효 상무는 “제로 트러스트는 솔루션 하나만으로 만들 수 없기 때문에 여러 제품 간 연계가 필수다. 하지만 아직 국내에선 이 같은 체계가 마련되지 못했다”며 “글로벌 표준 연동 체계를 적용해 경쟁력제고를 고심해야 한다”고 강조했다.

이와 함께 실제 기업 및 기관에는 작은 영역부터 제로 트러스트를 점진적으로 적용해야 한다고 조언했다. 이 상무는 “단번에 새로운 보안 체계로 시스템을 바꿀 수는 없다. 직원들이 체감할 수 있는 작은 프로젝트부터 시작해야 한다”며 “가령 기존 가상사설망(VPN) 장비를 ZTNA로 대체하는 사업은 비용 대비 큰 효과를 볼 수 있다”고 조언했다.