[취재.txt] 제로 트러스트, 법·제도적 뒷받침 절실하다

[아이티데일리] ‘제로 트러스트(Zero Trust)’ 보안은 최근 전 세계 IT 업계에서 높은 관심을 받고 있는 키워드 중 하나다. 우리 정부도 이러한 추세에 맞춰 제로 트러스트를 사이버 보안 강화를 위한 차세대 패러다임으로 선정, 시범사업 등의 지원책을 펼치며 관련 산업 기반 조성에 나서고 있다. 하지만 현장에서는 제로 트러스트가 본격적으로 확산되기까지는 아직 갈 길이 멀다고 지적하고 있다.

제로 트러스트는 ‘신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’는 원칙 하에 모든 접근을 의심하고 신원과 자격을 지속적으로 검증하는 보안 모델이다. 네트워크 내·외부를 나눠 그 경계를 지키던 방식에서 벗어나, 내부 네트워크도 안전하지 않다는 것을 전제로 한층 보안을 강화하는 개념이다.

하지만 이러한 제로 트러스트 보안 모델을 도입하기 위해서는 기존의 전통적인 보안 체계를 상당 부분 재설계해야 한다는 게 문제다. 기업·기관 입장에서는 부담일 수밖에 없다. 클라우드 인프라를 확장하고, 새로운 인증 및 접근 제어 시스템을 구축해야 하며, 이를 관리하기 위해 필요한 인력과 기술 등에 상당한 초기 투자 비용이 필요하다. 현재까지 제로 트러스트를 적극 도입하고자 하는 곳이 일부 대기업과 금융권, 공공기관 등에 한정되고 있는 것은 이러한 이유 때문이다. 이 때문에 일부 선도적으로 제로 트러스트 보안을 적용하고 있는 현장에서도 기존에 구축해 둔 보안 솔루션을 최대한 활용하면서 제로 트러스트를 적용할 수 있는 방안을 고민하고 있다. 결국 많은 경영진들이 제로 트러스트 적용에 많은 투자 비용이 들 것이라 판단, 기존 ISMS-P 등과 같은 컴플라이언스를 준수하는 것으로 충분하다고 판단해 투자를 미루는 경우가 많다.

현재 업계에서는 제로 트러스트 보안을 더욱 확산시키려면 좀 더 세부적이고 표준화된 가이드라인이 필요하다고 지적하고 있다. 각 기업의 다양한 보안 상황에 맞춰 적용할 수 있는 상세한 기준이 마련된다면, 좀 더 제로 트러스트 도입 속도와 효율성이 높아질 수 있다는 것이다.

제로 트러스트 도입을 본격 확산할 수 있는 거버넌스나 컴플라이언스 관련 법·제도가 없다는 점도 지적된다. 많은 보안 담당자들이 제로 트러스트가 보안을 한층 강화할 수 있다는 데는 동의하고 있지만, 반드시 도입해야 하는 것은 아니다 보니 관심에 비해 실제 시장의 반응이 아직 미흡한 게 사실이다. 이 때문에 국내 제로 트러스트 관련 시장은 미국과 같은 선도적 시장에 비해 발전이 뒤처지고 있다.

정부의 전폭적인 지지를 받아 빠르게 달려가는 글로벌 거대 기업들에 비해 국내 기업들은 정부로부터 고작 최대 몇억 원 수준의 지원금만을 받고 자체적으로 R&D 자금을 충당하며 글로벌 거인들과 힘겹게 싸우고 있는 실정이다. 국내에서 제로 트러스트 관련 기술을 연구, 개발하고 있는 기업 관계자들은 하나같이 “제로 트러스트 관련 정책과 지원사업을 정부가 앞장서서 추진하고 있다는 점은 긍정적으로 평가하지만, 현실적으로는 아직도 미비하다 느낀다. 기업 입장에서는 수익을 보고 기술 개발을 진행하는데, 투자한 만큼 수익이 발생할 수 있도록 뒷받침할 수 있는 실효성 있는 정책이 나왔으면 한다”는 의견을 조심스럽게 내놨다.

장기적으로 제로 트러스트 보안은 선택이 아닌 필수로 자리 잡아야 한다. 이를 위해서는 정부의 적극적인 정책적 지원이 절실하다. 제로 트러스트는 단순한 기술 도입이 아닌 국가 사이버 보안 체계의 패러다임 전환이다. 정부는 장기적이고 체계적인 로드맵을 수립하고, 구체적인 법과 제도를 마련해 본격적인 제로 트러스트의 확산을 뒷받침해야 한다.