[아이티데일리] 제로 트러스트(Zero Trust)는 사이버보안의 패러다임을 바꾸고 있다. 증가하는 공격 표면을 관리하고자 기업들은 데이터 중심으로 모든 요소를 검증하는 제로 트러스트 도입에 관심을 기울이고 있다.

공공 부문에도 보안의 새로운 바람이 불고 있다. 국가정보원이 준비하는 ‘국가 망 보안체계(National Network Security Framework, N2SF)’는 시스템·정보를 3등급으로 분류하고, 통제를 차등 적용하는 보안 프레임워크다. 20년간 이어진 망 분리 일변도의 공공 보안 정책이 N2SF와 함께 변화하고 있는 것이다.

본지(컴퓨터월드/IT DAILY)는 지난달 4일 서울 양재동 엘타워에서 ‘사이버보안의 뉴 패러다임, N2SF와 제로 트러스트’를 주제로 ‘2025 정보보호 솔루션 컨퍼런스’를 개최했다. N2SF와 제로 트러스트에 대한 독자들의 열띤 관심을 엿볼 수 있던 이번 행사 내용을 정리했다.

이번 행사에서는 제로 트러스트를 구현한 실사례도 공유됐다. KB국민은행 이형철 정보보호부 수석은 ‘금융권 제로 트러스트 아키텍처 전환 사례 및 N2SF 연계 전략’을 주제로 발표했다.

KB국민은행은 2021년 디지털 전환(Digital Transformation, DX) 가속화에 따른 차세대 보안 전략을 수립하며 제로 트러스트를 준비하기 시작했다. 2022년부터 2024년까지 제로 트러스트 기반 환경을 구축했으며, 비슷한 시기 과기정통부와 KISA가 추진하는 실증 사업에도 참여했다. 올해는 SK쉴더스 컨소시엄과 손잡고 SaaS 환경을 대상으로 제로 트러스트를 구현하고 있다.

이형철 수석은 “그동안 금융권은 여러 영역에 걸친 보안 체계를 갖추고 있었다. 하지만 이제 시대가 달라졌다. 망 분리라는 과거의 틀을 가지고는 클라우드, 오픈 API, 생성형 AI 등으로 넓어진 공격 표면을 보호하는 데 한계가 있다”며 “입체적으로 변한 사이버보안 현장에서 보다 나은 보안을 위해 제로 트러스트 도입을 결정했다”고 설명했다.

KB국민은행은 제로 트러스트를 구현하기 위해 시스템에 접근하는 주체와 매체, 그리고 중요 자원에 대한 신원을 통합하는 작업을 진행했다. 이상 징후 발견 시 해당 동적 정보를 바탕으로 차단하거나 인증을 지속적으로 요청하는 아키텍처도 구현했다.

이후 제로 트러스트의 3대 원칙인 강화된 인증, 소프트웨어 정의 경계(SDP), 마이크로 세그멘테이션(Micro-Segmentation)을 구현하는 데 집중했다. 다음으로는 안전한 SaaS 사용을 위한 제로 트러스트 체계를 만들었다. 앞으로는 N2SF를 반영한 보안 프레임워크로 발전시켜 나갈 계획이다.

이형철 수석은 4년여간 제로 트러스트 구현 과정에서 얻은 경험도 공유했다. 이 수석은 “제로 트러스트는 단기간에 성과를 낸다는 접근보다 장기 계획을 마련하고 단계적으로 추진해야 한다. 각 기업·기관에 맞는 독자적인 모델도 마련할 필요가 있다”고 조언했다.

이어 “KB국민은행은 제로 트러스트를 위해 솔루션 가짓수를 늘렸는데 정작 운영 인력이 부족해 어려움을 겪었다”며 “계획을 세우는 과정에서 운영 인력을 어떻게 확보할지에 대해서도 고심해야 한다”고 덧붙였다.