[2024 정보보호 솔루션 컨퍼런스①] “제로 트러스트, 이제는 확산이다”
아주대학교 사이버보안학과 박춘식 교수
[아이티데일리] 사이버 보안의 새로운 패러다임인 ‘제로 트러스트(Zero Trust)’가 국내에서도 본격적인 확산을 위해 기지개를 펴고 있다. “절대 믿지 말고, 항상 검증하라(Never Trust, Always Verify)”로 요약되는 제로 트러스트 보안은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 가이드라인을 발표하고 실증사업을 진행하면서 마중물을 부었다. 그리고 올해는 지난해보다 한층 확대된 규모로 시범사업을 진행, 이를 통해 본격적인 제로 트러스트 보안의 확산이 기대된다. 이제 보안 담당자들은 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 제로 트러스트 보안을 본격적으로 구현하고자 관심을 집중하고 있다.
이 같은 분위기 속에서 본지(컴퓨터월드/IT DAILY)는 6월 11일 서울 양재동 엘타워에서 “제로 트러스트: 이제는 확산이다”를 주제로 ‘2024 정보보호 솔루션 컨퍼런스’를 개최했다. 행사는 국내 제로 트러스트 보안을 주도하는 기업들의 발표를 통해 독자들이 제로 트러스트 보안의 개념부터 아키텍처, 구현 전략, 평가 모델, 핵심 솔루션 등을 한자리에서 이해하고, 관련 솔루션들의 시연까지 경험해 볼 수 있는 자리로 꾸며졌다.
“제로 트러스트, 이제는 확산이다”
‘2024 정보보호 솔루션 콘퍼런스’의 키노트는 아주대학교 사이버보안학과 박춘식 교수가 맡았다. 박춘식 교수는 이번 행사 주제와 같은 ‘제로 트러스트, 이제는 확산이다’를 제목으로 한 강연을 준비했다.
박춘식 교수는 제로 트러스트의 확산을 위해서는 먼저 오해부터 살펴봐야 한다며 발표를 시작했다. 제로 트러스트는 특정 제품을 도입해 실현할 수 있는 것이 아니며, 경계보안과 제로 트러스트 중 어느 쪽인지를 선택해야 한다거나, 방화벽을 사용하지 않는다고 생각하는 것, 그리고 단순히 클라우드 경유로의 원격 접속이 제로 트러스트라거나, 아이디(ID) 관리를 강화, 개선하는 것이 제로 트러스트라고 생각하는 것 등이 대표적인 착각이라고 설명했다.
이어 박 교수는 제로 트러스트와 관련해 예상했던 국내 상황에 대해서도 꼬집었다. 많은 솔루션들이 제로 트러스트 솔루션이라고 주장하거나, 전략이나 개념이 아닌 기술 중심으로 접근하는 것, 장거리 전략이 아니라 단거리로 제로 트러스트를 바라볼 것이라는 예상들이 적중했다는 게 최근의 현실이라고 설명하며 “제로 트러스트가 전략으로 인지되지 않고 있고, 조직들은 보유한 자산을 파악조차 못하고 있다. 제로 트러스트의 핵심인 트러스트 알고리즘에 대한 개념, 그리고 입력 정보에 대한 가이드도 없다. 그리고 현재 정부의 제로 트러스트 정책도 매우 미흡하다”면서 “지금처럼 제로 트러스트가 추진되면 단순히 버즈워드(buzzword)로 끝나게 될 것이 우려된다”고 말했다.
이어 박춘식 교수는 제로 트러스트의 개념 모델과 논리 모델, 실현 모델 등을 설명하면서 “깊은 이해와 정확한 정의 없이는 제로 트러스트를 제대로 구현할 수 없다”고 말했다. 제로 트러스트를 보다 깊이 이해하기 위해서는 PDP(정책결정지점)과 PEP(정책시행지점), 그리고 리소스를 명확화하고, 주체(subject)에 대한 신뢰성을 어느 시점에 줄 것인지를 생각해야 한다. 또한 트러스트 알고리즘에 대한 고민과 정보수집의 신뢰성 확보, 상관분석, 동적 액세스 제어 등에 대한 고민도 필요하다.
박 교수는 제로 트러스트 구축 성공을 위한 선행 핵심 요소들도 소개했다. 자동화된 자산 인벤토리를 구축해야 하고, 보호 대상 영역과 공격 대상 영역을 정의해야 하며, 성숙도 평가 및 현황 분석, 필러(pillar)별 성숙도를 위한 단계별 추진 계획 등이 제시됐다.
박 교수는 “제로 트러스트는 특정 솔루션을 도입해서 되는 것이 아니며, 시간을 갖고 지속적으로 접근해야 한다”면서 “제로 트러스트를 구축한 후 비용과 직원 수가 증가하는 등 단점도 있을 수 있다. 또한 제로 트러스트 도입으로 줄일 수 있는 리스크는 전체의 1/4 정도라는 것도 알아야 한다. 만병통치약이 아니다”라면서 “국내 제로 트러스트 확산을 위해서는 개념 및 전략 인식이 우선돼야 하고, CEO나 CISO 등 수요자가 중심이 돼야 한다. 또한 제로 트러스트는 기존 솔루션을 활용하면서 새로운 기술을 적용하는 하이브리드 전략으로 가야 한다. 마지막으로 성공 사례를 기반으로 다양한 솔루션들을 패키지로 묶어 쉽게 적용할 수 있는 제로 트러스트 2.0으로 나아갈 수 있도록 해야 하며, 이를 위해서는 정부가 법과 제도를 정비하고 실증사업으로 성공 사례를 확보할 수 있게 지원하는 등 제로 트러스트를 민간으로 확산시킬 수 있도록 주도해야 한다”고 강조했다.