[커버스토리] ‘2024 제로 트러스트 도입 시범사업’ 대해부

[아이티데일리] 랜섬웨어 공격, 데이터 유출 사고 등 각종 사이버 공격이 날이 갈수록 심해진다. 자연스레 보안 강화의 중요성 역시 계속해서 강조되고 있다. 특히 클라우드 기반 서비스와 모바일 기기 사용이 늘면서 기존의 경계 기반 보안 모델의 한계가 드러나 새로운 보안 패러다임이 요구되는 상황이다. 이에 우리 정부는 사이버 보안 업계가 새로운 패러다임 전환의 핵심으로 꼽고 있는 ‘제로 트러스트(Zero Trust)’ 보안을 확산하고자 기술적, 제도적 기반 조성에 나서고 있다.

이 같은 분위기 속에서 국내에서도 많은 사이버 보안 기업들이 제로 트러스트 솔루션 개발에 박차를 가하고 있으며, 일반 기업과 기관 등의 수요처에서도 보다 확실하고 안전한 보안 체계 구축을 위해 제로 트러스트에 많은 관심을 보이고 있다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 실제 제로 트러스트를 국내에 본격 확산시키기 위해 많은 노력을 기울이고 있다. 2023년 제로 트러스트 보안 모델의 적용과 실증을 위한 지원사업을 추진한 데 이어, 올해도 제로 트러스트를 업무망 환경에 실제 적용 및 운영할 수 있도록 돕는 시범사업을 추진했다. 올해 총 45억 원의 예산이 투입된 ‘2024년 제로 트러스트 도입 시범사업’에 참여한 4개 컨소시엄이 어떻게 사업을 추진하고 있는지 상세히 알아본다.

지니언스 컨소시엄

“앞선 기술력으로 ‘개방형 제로 트러스트 보안 모델’ 구현”

NAC로 안정적 성장한 지니언스, 제로 트러스트 미래 대비

사이버 보안 소프트웨어 기업으로 거듭나고 있는 지니언스는 네트워크 접근 제어(NAC) 솔루션으로 국내 IT 업계에 널리 알려진 기업이다. 2005년 설립 이후 안정적으로 성장을 거듭하며 지난해에는 사상 최대 실적인 매출 429억 원, 영업이익 65억 원을 기록했다. 이 같은 성과는 NAC 솔루션 매출이 안정적으로 증가하고, 차세대인 엔드포인트 탐지 및 대응(EDR) 솔루션 사업이 호조를 보이면서 가능했다. 지니언스는 국내에서 가장 앞서 NAC과 EDR 솔루션을 개발했으며, 두 분야에서 압도적인 점유율로 업계 1위를 자신할 만큼 기술력을 자신하고 있다. 이러한 역량을 기반으로 지난해까지 19년 연속으로 흑자를 기록하고 있다는 것도 자랑거리다.

그리고 지니언스는 이 같은 현재까지의 성과에 머물지 않고 차세대 신성장동력인 ‘제로 트러스트’ 분야가 본격적으로 성장할 것을 대비, 만반의 준비 태세를 갖췄음을 자신하고 있다. 제로 트러스트에 본격적으로 관심이 본격 집중되기 시작하던 2021년 제로 트러스트 솔루션 ‘지니안 ZTNA(Genian Zero Trust Network Access)’를 국내 기업 가운데서는 가장 먼저 개발하고, 세계 최대 사이버 보안 컨퍼런스 ‘RSAC 2022’에서 처음 선보인 것이다.

국내 1,500여 고객사로부터 정보 수집 가능

지니언스는 지난해 한국인터넷진흥원(KISA)이 지원한 ‘제로 트러스트 보안 모델 실증 사업’에 SGA솔루션즈 컨소시엄의 일원으로 참여, ‘지니안 ZTNA’를 연동해 제로 트러스트 아키텍처(ZTA) 모델을 성공적으로 구현했다. 그리고 올해는 좀 더 제로 트러스트 관련 역량을 고도화하고자 주관기관으로서 수산아이앤티, 퓨쳐텍정보통신과 손을 잡고 ‘2024년 제로 트러스트 도입 시범 사업’을 수행하고 있다.

NAC 솔루션을 개발, 서비스하고 있는 지니언스는 국내 1,500여 고객사의 단말, 사용자, 네트워크 등에서 다양한 속성 정보(Attribute)를 수집해 이를 바탕으로 맥락(context) 기반 정책을 수립할 수 있는 정책 엔진 기술을 갖고 있다. 또한 NAC 외에 EDR 및 ZTNA 솔루션을 통해서도 PIP(정책정보지점) 및 PEP(정책시행지점) 역할을 하면서 정보를 수집, 위협에 대응할 수 있는 기술을 갖추고 있다.

수산아이앤티와 ‘개방형 제로 트러스트 모델’ 구축 목표

이번 시범 사업에서 지니언스 컨소시엄은 '개방형 제로 트러스트 모델'을 구현하는 것을 목표로 잡았다. 그리고 이와 관련해 두 가지 방향성을 갖고 있다고 지니언스 측은 설명했다. 첫 번째는 ZTNA(제로 트러스트 네트워크 아키텍처)를 구축한 후 점차 영역을 확장해 궁극적으로 ZTA(제로 트러스트 아키텍처)로 전환하는 방향이다. 두 번째는 ZTA 모델을 처음부터 구축하고 그 경험을 바탕으로 지속적으로 발전시키는 방향이다.

이러한 방향 아래 지니언스는 시범 사업을 통해 전체 ZTA 모델을 수립하고, 필수 요소인 △ZTNA(제로 트러스트 네트워크 아키텍처) △IAM(통합 계정 및 접근 관리) △PDP(정책결정지점; OPA) 등을 개발 및 구축하는 역할을 수행한다.

그리고 또 다른 컨소시엄사 수산아이앤티는 검증된 보안 솔루션을 정책 시행 지점(PEP)에 제공하고, IAM, PIP, PDP 등과 표준 프로토콜을 통해 연동해 ZTNA 기반의 핵심 모듈을 구현하며, 기존 솔루션과의 원활한 연계를 담당한다.

투자·협업 등으로 기업 간 ‘연동’ 강화하며 고도화

지니언스는 아직 국내 제로 트러스트 시장이 초기 단계이지만, 향후 정부의 정책적 지원과 기업들의 사이버 보안 인식이 확대되면서 지속 성장할 것으로 예상하고 있다. 회사는 이러한 환경에 발맞춰 신시장 개척에 적극적으로 노력한다는 방침이다. 특히 기업 간 ‘연동’을 통해 시장에서의 영역을 확대함으로써 제로 트러스트 전문 기업으로 발돋움한다는 계획이다.

지니언스 전략마케팅실 이대효 상무는 “글로벌 시장 사례를 살펴보면, 성공적으로 안착한 ‘제로 트러스트’는 대형 클라우드 환경에서 다수의 솔루션을 연동한 통합 환경을 제공하고 있다. 지니언스는 이러한 기조에 발맞춰 개방형 ZTA를 설계하고, 생태계를 구축해 국내외 다양한 솔루션과 연동할 계획이다. 또한, 국정원의 MLS(다층보안체계)를 비롯한 국내 보안 환경에 맞춰 온프레미스와 클라우드 플랫폼 모두에서 운영될 수 있도록 지속적으로 발전시킬 계획이다 ”라면서 “이러한 배경에서 지니언스는 KISA의 이번 ‘제로 트러스트 도입 시범 사업’을 시작으로, 다양한 정부 정책 아래 기업 간 투자 및 협업 기회를 모색해 제품 간 연계성을 높이고, 제품 고도화를 통해 더 많은 고객을 확보할 예정이다”라고 밝혔다.

엠시큐어 컨소시엄

“금융권 제로 트러스트 표준 세운다”

엠엘소프트, 피앤피시큐어 등과 손잡고 KB국민은행 보안 강화

엠시큐어는 화이트해커로 이뤄진 해킹 및 보안 전문 기업이다. 보안 솔루션 개발과 소프트웨어 취약점 연구, 전문가들의 취약점 컨설팅 서비스 등을 제공하고 있다. 엠시큐어는 엠엘소프트, 에스엔에이, 이스톰, 피앤피시큐어와 함께 컨소시엄을 구성해 이번 ‘2024년 제로 트러스트 시범 사업’을 수행한다.

엠시큐어 컨소시엄은 ‘클라우드 기반 제로 트러스트 핵심 원칙 고도화 모델’을 수요기관인 KB국민은행의 ‘원 클라우드(One Cloud)’에 적용한다. 그리고 향후에는 이를 KB금융그룹 전 그룹사에 확대 적용하는 것으로 목표로, 우선 KB국민은행의 제로 트러스트 성숙도 수준을 크게 향상시킨다는 계획이다.

각사 전문성과 긴밀한 협력으로 성공 구축 기대

엠시큐어 컨소시엄은 각사의 전문성과 긴밀한 협력을 통해 금융권 제로 트러스트 보안 모델을 성공적으로 구축한다는 계획이다. 특히 이번 시범 사업을 통해 각 파트너사의 독립적인 기술을 유기적으로 결합함으로써 금융 서비스의 보안 표준을 새롭게 설정하겠다는 포부다.

컨소시엄 내 각사의 역할을 상세히 살펴보면, 먼저 엠시큐어는 프로젝트의 주관사로서 제로 트러스트 보안 아키텍처를 총괄한다. 신뢰도 알고리즘과 자동화된 검증 시스템 개발, 동적 취약점 점검 도구 구현을 담당한다.

통합 인증 및 권한 관리 기능을 개발하는 에스엔에이는 제로 트러스트 기반의 사용자 인증과 대용량 데이터 관리 체계를 구축한다. 특히 SSO(Single Sign On; 단일 인증 시스템)와 계정 권한 관리 시스템을 제공해 사용자 인증의 편의성과 보안을 동시에 만족시키는 솔루션을 공급한다는 계획이다.

이스톰은 상호 인증 및 데이터 보호 기술 전문 기업이다. 이번 사업에서는 대역 외 인증 기술을 활용해 네트워크 보안성을 높인다. 또한 이스톰은 신뢰도 기반의 인증 정책을 구축하고 있는데, 특히 상호 인증 기술(ITU-T X.1280) 표준을 기반으로 사용자의 인증 및 데이터 보호를 강화한다.

피앤피시큐어는 데이터베이스(DB)와 시스템 접근 제어를 담당한다. 특히 실시간 무자각 안면 인증 기술을 활용해 사용자 접근을 더욱 안전하게 관리한다. 또한 각 계정에 따른 보안 정책을 수립하고, 데이터베이스에 대한 안전한 접근을 보장한다. 이를 통해 시스템 보안을 강화하고, 계정 관리의 중앙 집중화 및 자동화를 통해 보안성을 높이게 된다.

마지막으로 엠엘소프트는 제로 트러스트 구현에서 핵심 기술 중 하나로 꼽히는 SDP(소프트웨어 정의 경계)와 마이크로 세그멘테이션(Micro Segmentation) 기술을 담당해 네트워크 접근을 제어하고 보안을 강화한다. 특히 클라우드와 금융 환경에서 서버 은폐 기능과 신뢰도 기반 인증 체계를 구축함으로써 제로 트러스트 아키텍처의 핵심 역할을 수행하게 된다. 또한 네트워크 자원을 효과적으로 분할해 최소 권한 접근 원칙을 적용하고, 외부로부터의 공격을 원천 차단하는 역할을 담당한다.

KB국민은행, 제로 트러스트 모범 사례 확립 기대

엠시큐어 컨소시엄은 이번 제로 트러스트 시범사업의 수요기관으로 KB국민은행을 확보했다. 컨소시엄은 KB국민은행을 중심으로 KB금융그룹 내 다양한 계열사에 제로 트러스트 보안 모델을 확대할 계획이다. 금융 산업의 특성상 방대한 양의 민감한 고객 정보와 내부 데이터를 보호해야 한다. 이를 위해 클라우드 기반의 IT 환경에서 보안 문제를 해결하는 것이 이번 사업의 핵심 목표다.

KB국민은행은 금융 서비스의 디지털 전환을 가속화하고, 더욱 복잡해진 IT 인프라에서 발생할 수 있는 보안 리스크를 줄이기 위해 제로 트러스트 보안 모델을 도입한다. 특히 KB국민은행은 클라우드와 하이브리드 IT 인프라를 운영하면서 기존의 전통적인 보안 체계로는 원격 근무 환경에서 발생하는 보안 문제를 효과적으로 대응하기 어렵다는 한계를 인식했다. 이에 제로 트러스트 보안 모델을 통해 내부 직원, 외부 파트너, 고객 데이터를 보다 철저히 보호할 수 있는 환경을 구축한다는 계획이다. 제로 트러스트 보안 모델은 단순히 외부의 해킹 공격만을 방지하는 것을 넘어, 내부 정보 유출을 방지하는 데도 큰 기여를 하고 있다. 특히 클라우드 환경에서 발생할 수 있는 복잡한 보안 취약점을 제로 트러스트 모델로 통합해 관리함으로써 정보 보안 체계를 강화한다.

KB국민은행의 IT 환경은 다양한 디바이스와 애플리케이션을 통해 접속이 이뤄지는 만큼, 사용자 신원과 장치 무결성을 철저히 확인하는 것이 중요한 보안 요소다. 이번 시범사업 컨소시엄의 제로 트러스트 보안 모델은 이를 위해 사용자와 기기의 신뢰도를 지속적으로 평가하며, 최소 권한 원칙을 적용해 불필요한 접근을 차단하고 리소스에 대한 접근을 엄격히 관리한다. 특히 원격 근무 환경에서 발생할 수 있는 보안 위협에 대해 네트워크의 위치나 IP 주소 대신 계정 기반 보안 정책을 적용함으로써, 네트워크 내부와 외부의 사용자가 동일한 수준의 보안 정책을 적용받도록 설계돼 있다.

제로 트러스트 모델을 통해 KB국민은행은 고객 데이터 보호에도 큰 이점을 누리고 있다. 금융기관의 고객 데이터는 그 자체로 해커의 주요 타깃이 되기 쉽다. 따라서 고객의 개인 정보와 금융 데이터를 더욱 안전하게 보호하는 것이 중요하다. 제로 트러스트 모델은 접근 통제와 다중 인증(MFA)을 적용해 사용자와 장치가 확실히 검증된 경우에만 금융 시스템에 접근할 수 있도록 해 데이터 유출 및 내부 정보 유출을 근본적으로 차단할 수 있다. 이를 통해 고객 신뢰도를 높이고, 금융권 내에서 데이터 보안 모범 사례로 자리 잡을 수 있을 것으로 KB국민은행은 기대하고 있다.

또한 KB금융그룹은 제로 트러스트 모델을 통해 보안성뿐만 아니라 비즈니스 연속성을 강화하고자 한다. 클라우드 환경과 원격 근무 시스템이 증가하면서 언제 어디서나 안전한 업무 환경을 유지하는 것이 필수적이다. 제로 트러스트 보안 모델은 네트워크 리소스에 대한 실시간 모니터링과 세밀한 접근 제어를 가능하게 하며, 사용자와 시스템 간의 상호작용이 보안 정책에 위배되지 않도록 관리한다. 이를 통해 원격 근무 중에도 업무 효율성을 극대화할 수 있으며, 동시에 보안 위험을 최소화하는 환경을 구축할 수 있다.

엠엘소프트 이재준 이사는 “KB국민은행의 이번 제로 트러스트 도입 시범사업은 고객 정보 보호, 내부 보안 강화, 원격 근무 환경에서의 안전한 네트워크 접근을 가능하게 하며, 궁극적으로 금융 서비스의 보안성과 안정성을 강화하는 데 그 목표를 두고 있다. 이러한 시스템 구축은 향후 KB금융그룹 내 다른 계열사로 확산돼 전체 금융 서비스의 보안 표준을 새롭게 정의할 것으로 기대된다”고 설명했다.

앰진

“SDP 솔루션 ‘퀀트월’ 고도화하고 기술력 증명할 것”

디셉션 기술 국내 첫 상용화한 젊은 보안 기업 ‘앰진’

앰진은 지난 12년 간 쌓아온 IT 보안솔루션 개발 경험과 침해 위협 분석 기술력을 바탕으로 공공, 국방 분야와 일반 기업에 정보보호 솔루션 및 서비스를 제공하고 있다. 특히 2022년에는 경기도교육청 5G 국가망에서의 SDP(소프트웨어 정의 경계) 기반 ZTNA(제로 트러스트 네트워크 액세스) 솔루션을 구축하고, SDP 규격을 준수하는 CC인증(EAL4)을 국내에서 처음으로 획득하는 등 국내 제로 트러스트 시장을 선도하고 있음을 자부한다.

회사는 2012년 창립 이래 지속적인 매출 성장세를 보이고 있으며, 특히 비정상적인 접근을 탐지하기 위해 알려진 취약점을 기반으로 설계된 시스템을 의도적으로 설치하는 ‘디셉션(Deception; 능동유인탐지체계)’ 기술을 국내에서 처음으로 상용화하는 등, 소프트웨어 기술력을 보유한 젊은 보안 기업임을 자부하고 있다.

앰진은 2022년 경기도 교육청의 ‘스마트워크를 위한 5G 국가망 구축’ 사업에 SDP 솔루션인 ‘퀀트월(Quantwall)’을 성공적으로 납품한 경험을 바탕으로 이번 제로 트러스트 시범사업에 관심을 갖게 됐다고 밝혔다. 이번 실증 사업을 통해서는 ‘퀀트월’ 솔루션을 고도화하고 기술력을 증명할 수 있을 것으로 기대하고 있다.

4개사 모여 ‘제로 트러스트 패키지’ 제공

앰진 컨소시엄은 주관기관인 앰진을 포함해 지란지교에스앤씨, 엔드포인트랩, 옥타코 등 총 4개 기업으로 구성됐다.

먼저 주관기관인 앰진은 제로 트러스트 솔루션의 통합과 SDP를 통한 제로 트러스트 네트워크 구현을 목표로 △ZTNA 아키텍처의 설계 △시범 운영 시나리오 도출 △SDP 기반 ZTNA 패키지 통합 정책 관리 제공 등 SDP 중심의 통합과 제로 트러스트 보안 모델 시범 운영을 총괄한다. 또한 지란지교에스앤씨는 제로 트러스트 단말 보안 기능과 서버 취약점 탐지 기능을 제공하며 △단말 보안 솔루션 정책 △로그의 SDP 솔루션 연동 △사용자 단말 통합 보안 기능 제공 등 사용자단에 올인원 단말 보안을 제공한다.

엔드포인트랩은 에이전트 설치 불가 환경에서 제로 트러스트 네트워크를 구축하는 것을 목표로 한다. 레거시 환경 및 BOYD 등 에이전트 설치 불가 환경에서 ZTNA를 지원하기 위한 리소스 포털을 제공한다. 마지막으로 옥타코는 제로 트러스트 기반의 피싱 방지 MFA 솔루션을 바탕으로, 강력한 인증이 필요한 시스템과 연동해 간편하게 FIDO2 기반의 생체인증을 지원한다.

앰진 컨소시엄은 대민 서비스, 원격근무 및 지사를 포함하는 업무망에 ZTNA 모델을 안정적으로 적용한다는 계획이다. 이를 통해 광대역 인터넷 기반의 원격 및 재택근무, 화상회의 등의 국내 업무 환경에 최적화된 제로 트러스트 솔루션을 제공하는 것을 목표로 하고 있다. 또한 서비스 운영망, 지사망, 원격 및 재택근무 환경, 대국민 서비스 등 실제 대표적 유형의 보안 운영 환경에 확산 가능한 제로 트러스트 보안 모델을 시범 운영할 계획이다. 이로써 ZTNA 모델로의 성공적인 전환 방법론을 제시할 수 있을 것으로 기대한다.

앰진 유선모 연구소장은 “앰진 컨소시엄은 국내 최고 등급인 EAL4 수준의 CC인증을 받은 SDP 솔루션을 중심으로 FIDO 2.0 기반의 생체인증, 단말 통합 보안, 제로 트러스트 SD-WAN, 서버 및 서비스 취약점 분석 솔루션을 통합해 완결성 있는 제로 트러스트 보안모델을 제공할 계획”이라고 밝히고 “각사에서 제공하는 SDP와 UEBA(사용자 및 엔티티 행위 분석) 솔루션을 바탕으로 서버 및 서비스 취약점 분석 솔루션, 통합 단말 보안 솔루션, 생체정보 기반 2차 인증 솔루션 및 리소스 포털 솔루션까지 통합한 구성으로 제로 트러스트 패키지를 제공한다. 이러한 구성은 암묵적으로 인가되고 있던 서비스 형상에 대한 신뢰는 물론, 업무 프로세스에 대한 신뢰와 사용자 단말 및 행위에 대한 신뢰 등의 영역까지 제로 트러스트를 적용함으로써 보안 위협에 보다 철저하게 대응할 수 있도록 한다”고 덧붙였다.

다양한 환경에 제로 트러스트 적용

앰진 컨소시엄은 이번 사업에서 타 컨소시엄 대비 확연히 많은 6개 수요처를 구성했다. 국내 기업 환경에 적합한 제로 트러스트 모델을 적용하는 것을 목표로, 실 업무환경에서의 활용성에 중점을 두고 수요처를 구성했다는 게 앰진 측 설명이다.

우선 고객 개인정보 탈취, 서비스 품질 저하 목적 등 침해 위협이 상존하는 서비스 운영망 환경에 ZTNA를 적용하는 것을 목표로 SK브로드밴드, 에듀앤플레이를 수요처로 구성했다. 목표는 △운영 네트워크에 대한 감염 단말의 접근이나 비인가 운영자의 접근 등과 같은 위험을 예방하고 △서비스 이용 고객 정보보호를 위해 데이터 애플리케이션 접근 정책을 세분화함으로써 최소 권한 원칙을 구현하고, 운용자 행동 분석을 통해 완결성 있는 감사를 수행함으로써 보안을 강화하는 것이다. 해당 목표를 위해 SK브로드밴드의 경우 3천여 고객에게 주문형 보안 서비스를 제공하는 서비스 운영망에 제로 트러스트 보안 모델을 적용했다. 또한 에듀앤플레이에는 1,800여 고객에게 유아 교육 콘텐츠를 제공하는 ‘태비박스’ 서비스의 운영망에 제로 트러스트 보안 모델을 각각 적용했다.

또한 단순 사무 환경이 아닌 전기차 충전기, 스마트 팩토리 운영망 등과 같이 다양한 기기 접점이 있는 시설 운영망 환경에도 제로 트러스트를 시범 적용한다. 수요처로 이브이시스, 삼천산업이 함께한다. 시설 운영망에서의 제로 트러스트 보안 모델 목표는 △최근 사이버공격 주 목표 중 하나인 기반 시설 및 운영환경(OT) 보호를 위해 현실적인 ZTNA 보안 모델을 적용함으로써 다양한 기기 접점을 포함한 운영망에서의 감사 및 모니터링을 지원하고 △클라이언트 설치가 제한되는 시설 및 장비에 ZTNA 보안 모델을 적용해 시설운영망 보안을 강화하는 것이다.

이브이시스의 경우 전기차 충전기 운영망 대상의 보안관리 서비스에 ZTNA 보안모델을 적용했다. 또한 삼천산업은 본사(삼천산업) 및 국내 지사(창진에스씨), 해외 지사(삼천산업TH) 간 제로 트러스트 기반 업무망을 구성함으로써 지사망 기반의 스마트 팩토리 시설을 보호하는 것이 목표다.

이외에도 SDDC(소프트웨어 정의 데이터센터), 방산 등과 같은 기밀 취급 업무망에 제로 트러스트 보안 모델을 적용하기 위해 아토리서치, 엔스텔정보통신를 수요처로 구성했다. 기밀 취급 사내 업무망에서의 제로 트러스트 보안 모델 목표는 △부서, 직급, 직무 등 다양한 권한에 따라 리소스 접근을 제어할 수 있도록 내부망에서의 논리적 경계(Micro-Segmentation) 기반 최소 권한 부여 △내부 주요 인프라 및 기밀자료 저장소에 접근하는 단말의 신뢰성 검증 및 행동 분석 기반 감사체계로 엄밀한 기밀자료 관리 환경 제공 등이다. 아토리서치는 SDDC 개발·운영 연구소의 네트워크 보안 및 기밀자료 보안을 목적으로 제로 트러스트 보안 모델을 적용했다. 또한 엔스텔정보통신은 일부 국방 네트워크에 접속 가능한 폐쇄 네트워크에서의 접근 보안 관리와 기밀자료 보안을 목적으로 제로 트러스트 보안 모델을 적용한다.

SGA솔루션즈

“국내 유일의 ‘풀스택 ZTA’ 솔루션으로 제로 트러스트 ‘기준’ 세운다”

통합 IT 보안 역량 갖춘 제로 트러스트 선두주자

2002년 설립된 SGA솔루션즈(대표 최영철)는 ▲시스템보안 ▲엔드포인트 보안 ▲응용보안 등의 사업 영역에서 20년간 축적한 기술력을 바탕으로, 최근에는 제로 트러스트 및 클라우드 네이티브 보안 등을 아우르는 통합 IT 보안 선도 기업으로 자리매김하고 있다. 지난 2015년 5월 코스닥에 상장한 SGA솔루션즈는 정부 10대 정보보호 핵심기술 중 5대 핵심기술에 대한 보안 솔루션을 갖고 있으며, 정보보호 특허 및 인증을 20종 이상 보유하고 있다. 특히 올해는 ‘2024년 제로 트러스트 공공부문 시범사업’ 뿐만 아니라, 115억 원 규모의 클라우드 보안 국책 과제를 수주하며 클라우드 보안 원천 기술과 경험 역량도 함께 인정받고 있다.

주요 연구과제 지속 수행한 검증된 기술력으로 올해도 성과 기대

SGA솔루션즈는 제로 트러스트 보안 구축에 필요한 역량을 국내에서 가장 빠르게 정립하고 신속하게 사업화를 추진한 대표 기업으로 평가받고 있다. 특히 시스템 보안부터 엔드포인트 보안까지, IT 환경 전반을 포괄할 수 있는 솔루션 라인업을 갖추고 있다는 게 가장 큰 장점으로 작용했다. 이를 기반으로 2021년 과학기술정보통신부 및 정보통신기획평가원(IITP)의 차세대 보안 연구개발(R&D) 과제 가운데 국내 최초로 발주된 제로 트러스트 연구과제를 수주했다. 해당 과제에는 4년간 약 100억 원 규모의 지원이 이뤄졌다. 이후 SGA솔루션즈는 지속적인 연구개발을 진행해 현재의 제로 트러스트 아키텍처 보안 솔루션을 개발, 출시하게 됐다.

또한 SGA솔루션즈는 지난해인 2023년 과기정통부와 KISA에서 진행한 ‘제로 트러스트 보안 모델 실증 지원사업’에 선정돼 성공적으로 사업을 수행하며 국내 보안 업계의 주목을 받았다. 여기에 올해는 더욱 고도화되고 구체화된 ‘공공부문 제로 트러스트 도입 시범 사업’을 수주, 제로 트러스트 보안 선도 기업으로서의 입지를 확고히 다져나가고 있다.

올해 수주한 ‘제로 트러스트 도입 시범사업’을 통해서는 실제 업무환경에 제로 트러스트 보안 모델을 적용하고, 이에 대한 효과성 분석 및 보안 수준 평가 등의 결과를 종합적으로 도출할 예정이다. 회사는 국내 유일의 풀스택(Full-Stack) ZTA(제로 트러스트 아키텍처) 솔루션임을 자부하는 ‘SGA ZTA’와 컨소시엄 구성 업체의 보안제품들 간의 연동을 통해 완벽한 ZTA 시스템을 구성하고, 적용 및 실증을 통해 제로 트러스트 보안에 있어 의미 있는 결과를 도출해 낼 수 있을 것으로 기대하고 있다.

성숙도 모델 6대 핵심 구성요소 맞춰 컨소시엄 구성

SGA솔루션즈는 올해 시범사업을 성공적으로 수행하고자 ‘제로 트러스트 가이드라인 1.0’ 내 제로 트러스트 성숙도 모델(ZTMM)의 6대 핵심 구성요소를 충족하도록 역할을 구분해 컨소시엄을 구성했다. SGA솔루션즈, 에스지앤(SGN), SGA이피에스, 케이사인, 그리고 엔키화이트햇까지 총 5개사가 힘을 합친다.

먼저 SGA솔루션즈는 사업 주관사로서 전체 사업 수행 시 총괄 리딩 역할을 담당한다. 또한 제로 트러스트 보안 프레임워크 구현과 리소스 시스템에 대한 보호뿐만 아니라, 제로 트러스트 세그멘테이션(ZTS) 기능까지 함께 제공한다. 구축된 제로 트러스트 시스템과 함께 성숙도 모델 기반의 보안 평가를 수행하며, 이를 업무환경의 유스케이스에 적용해 제로 트러스트 적용 전후를 비교하고 보안성 향상 결과에 대한 차이점을 도출한다.

에스지앤은 목표 보안 모델에서 ICAM(Identity Credential Access Management; 자격 증명 및 액세스 관리) PDP(정책결정지점) 솔루션을 공급 및 구축하고, 특권사용자인 시스템관리자에 대한 PAM(특권계정관리) PEP(정책실행지점)를 제공함으로써 기업 리소스 시스템의 접근통제 영역을 개발한다.

또한 SGA이피에스는 사용자 엔드포인트 PC의 위험점수화를 진행하는 사용자 UEM(통합 엔드포인트 관리) 솔루션을 제공하며, 엔드포인트 통합 관리 기능 및 역할을 제공한다.

케이사인은 리소스 데이터 보호 영역에서 DBMS(데이터베이스 관리 시스템) 내 DB 데이터 암호화에 대한 PEP 역할을 제공한다. 마지막으로 엔키화이트햇은 제로 트러스트 환경 구현 및 도입 모델에 대해 모의 해킹을 수행한다. 제로 트러스트 보안이 적용된 시스템에 대해 모의 해킹을 진행함으로써 제로 트러스트 관점에서 보안 효과성을 도출할 예정이다.

국가정보자원관리원·공무원연금공단에 제로 트러스트 초석 놓는다

SGA는 올해 ‘제로 트러스트 도입 시범사업’의 수요기관으로 국가정보자원관리원과 공무원연금공단을 확보했다. 국가정보자원관리원에서는 완전한 클라우드 플랫폼을 구축한 대구센터가 참여해 센터 내 주요 업무시스템 및 보안시스템에 관리자들이 안전하게 접근할 수 있도록 제로 트러스트 아키텍처 시스템을 구축하는 것을 목표로 하고 있다. 또한 공무원연금공단은 대구센터 입주기관 중 하나로서, 공단 제주도 본사의 사용자들이 대구센터 내 구축된 업무 시스템들을 사용하는 경우 이에 대한 안전한 접근을 제로 트러스트 아키텍처 기반으로 전환해 사용하는 것을 목표로 하고 있다.

SGA솔루션즈는 공무원연금공단이 이번 시범사업 결과를 토대로 서비스형 제로 트러스트의 도입 및 전환을 위한 중·장기 계획을 수립하고 예산을 확보하는 것을 기대하고 있다. 그리고 이를 바탕으로 플랫폼 기반의 제로 트러스트 아키텍처 보안 서비스 생태계 조성을 위한 핵심 기틀이 마련될 것으로 보고 있다. 국가정보자원관리원의 경우 이미 목표 달성을 위해 2027년까지 ▲제로 트러스트 보안 서비스 토대 마련 ▲관리원 내 제로 트러스트 보안 서비스 제공(대전·광주) ▲입주기관을 위한 제로 트러스트 보안 서비스 제공(입주기관) 등 총 3단계에 걸친 제로 트러스트 보안 서비스 로드맵을 수립했으며, 이를 단계적으로 수행해 나갈 계획이다.

SGA솔루션즈 최영철 대표는 “미국 NIST의 제로 트러스트 가이드라인이 2020년 발간된 후 이제 4년 정도의 시간이 흘렀다. 이미 글로벌 사이버 보안 기업들은 3~4년 전부터 제로 트러스트 솔루션을 시장에 출시하고 시장을 주도하고 있는 상황이다. 우리나라도 2023년 과기정통부가 제로 트러스트 가이드라인 1.0을 발표한 이후, 시장에서 보안 업무를 담당하는 담당자들의 제로 트러스트 이해도 수준이 많이 높아졌으며 제로 트러스트 정책을 검토하고 이행하고자 하는 계획들이 조금씩 수립되고 있다”면서 “하지만 일부에서는 아직도 제로 트러스트가 이론과 철학이라는 관점을 갖고 있어 도입을 시기상조로 여기기도 하고, 거버넌스나 컴플라이언스 정책이 없어 C 레벨에서 기술 도입을 주저하거나 관망하고 있는 상태다. 이러한 부분을 획기적으로 개선하기 위해서는 보다 더 강력한 제로 트러스트 확산 정책이 필요하며, 특히 컴플라이언스 관련 정책이 반드시 만들어져야 한다”고 강조했다.