[아이티데일리] 제로 트러스트(Zero Trust)는 사이버보안의 패러다임을 바꾸고 있다. 증가하는 공격 표면을 관리하고자 기업들은 데이터 중심으로 모든 요소를 검증하는 제로 트러스트 도입에 관심을 기울이고 있다.

공공 부문에도 보안의 새로운 바람이 불고 있다. 국가정보원이 준비하는 ‘국가 망 보안체계(National Network Security Framework, N2SF)’는 시스템·정보를 3등급으로 분류하고, 통제를 차등 적용하는 보안 프레임워크다. 20년간 이어진 망 분리 일변도의 공공 보안 정책이 N2SF와 함께 변화하고 있는 것이다.

본지(컴퓨터월드/IT DAILY)는 지난달 4일 서울 양재동 엘타워에서 ‘사이버보안의 뉴 패러다임, N2SF와 제로 트러스트’를 주제로 ‘2025 정보보호 솔루션 컨퍼런스’를 개최했다. N2SF와 제로 트러스트에 대한 독자들의 열띤 관심을 엿볼 수 있던 이번 행사 내용을 정리했다.

소프트캠프 강대원 본부장은 ‘업무 중요도 기반 보안 환경 구축과 제로 트러스트 연계 방안’을 주제로 발표했다. 소프트캠프는 원격 브라우저 격리(RBI) 솔루션 ‘실드게이트(SHILEDGate)’, 통합 계정관리 서비스 ‘실드ID(SHIELD ID)’로 제로 트러스트 구현을 돕고 있다.

N2SF의 핵심 요소는 위협 모델링이다. 시스템 내 위치-주제-객체로 대상을 구분하고 위험 등급을 분류한 후 그에 맞는 보안 정책을 적용하는 것이다. 관건은 등급이 다른 영역 간 연계다. 가령 S등급과 O등급 사이에서 파일 전송이 이뤄질 경우, 위험 요소를 파악하고 적합한 보안통제 항목이 마련돼야 한다. 현재 N2SF 가이드라인은 6개 영역에 176개 보안통제 항목을 제공하고 있다.

강대원 본부장은 ”N2SF는 정책 보안 주체와 대상에 대해 특정 이벤트 및 조건에 따라 정책을 어떻게 적용할지가 핵심”이라며 “파일 다운로드, 인쇄, 화면 캡처 등 여러 상황을 두고 허용하거나 차단할지, 또는 데이터 보안 수준을 어떻게 높일지를 다루는 것”이라고 설명했다.

소프트캠프는 문서 자체에 위험 등급을 부여하는 방법을 제안한다. 가령 S등급 시스템에서 문서를 다운로드했다면 이 문서에는 ‘S’라는 표시를 남긴다. 이와 함께 문서에 출처, 사용자, 만들어진 날짜와 같은 정보까지 삽입함으로써 정교한 통제를 구현하는 것이다.

소프트캠프의 RBI 솔루션 ‘실드게이트(SHIELDGate)’를 연계, 업무 시스템 수정 없이도 등급별 문서 유통을 제어한다. 특히 소프트캠프는 실드게이트가 갖춘 다운로드 없는 웹 편집 기능, SaaS 업로드 문서에 대한 검색 및 통제로 보안 수준을 더욱 높여나간다는 계획이다.