[2025 제로 트러스트 시범사업 줌인 ①] SGA솔루션즈 컨소시엄

[아이티데일리] 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관하는 2025년 제로 트러스트 도입 시범사업을 수행할 6개 컨소시엄이 확정됐다. 지난해 4개 대비 50% 확대된 6개 컨소시엄 체제로 출범한 올해 사업을 통해 국내 민간 부문의 사이버 보안 패러다임 전환이 본격화될 것으로 기대된다. 이번 시범사업은 과제당 최대 7억 원씩 총 42억 원 규모로 추진되며, 주로 금융권 수요처로 다수 포함된 가운데 그 외 다양한 산업 분야에서까지 제로 트러스트 보안의 실질적 적용과 검증이 이뤄질 예정이다. 특히 각 컨소시엄은 인공지능(AI) 클라우드 보안, 양자내성암호화(PQC), 소프트웨어 정의 경계(SDP) 등 차세대 보안 기술을 융합한 혁신적 접근으로 업계의 기대를 받고 있다. <편집자 주>

제로 트러스트, 보안 전략의 핵심으로 부상

최근 급변하는 디지털 전환기 가운데 랜섬웨어 공격과 데이터 유출 사고가 날로 심화되면서, 기존의 경계 기반 보안 모델의 한계가 명확히 드러나고 있다. 클라우드 기반 서비스와 모바일 기기 사용이 폭발적으로 증가하면서, ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’는 제로 트러스트 보안 패러다임의 도입은 선택이 아닌 필수로 부상했다.

이에 따라 우리 정부는 사이버 보안 업계가 새로운 패러다임 전환의 핵심으로 꼽는 제로 트러스트 보안을 확산하고자 기술적, 제도적 기반 조성에 적극 나서고 있다. 2023년 제로 트러스트 보안 모델의 적용과 실증을 위한 지원사업을 시작으로, 2024년에는 45억 원 규모로 4개 컨소시엄이 참여한 시범사업이 진행됐다. 그리고 올해 역시 42억 원 규모로 다소 예산이 줄긴 했지만 총 6개 컨소시엄으로 시범사업이 확대 진행된다.

특히 최근 국내 망분리 규제 완화 움직임과 국가정보원의 국가망보안체계(N2SF) 도입이 맞물리면서, 제로 트러스트 기반 보안 환경 구축에 대한 수요가 급증하고 있는 상황이다. 미국을 중심으로 본격화된 제로 트러스트 아키텍처가 한국에서도 가이드라인 발표와 포럼 발족을 통해 속도를 내는 한편, 클라우드와 인공지능(AI) 등 신기술 사용 요구에 힘입어 올해 망분리 규제 완화까지 이끌어내 보안 업계에는 많은 변화가 나타나고 있다. 이 때문에 차세대 보안 패러다임인 제로 트러스트에 대한 관심이 높은 상황이다. 6개 컨소시엄이 어떻게 이번 사업을 추진할지 상세히 들여다본다.

SGA솔루션즈 컨소시엄
“3년 연속 제로 트러스트 정부 사업 주관하며 기술력 입증”

정부 제로 트러스트 관련 사업 최다 수행

SGA솔루션즈(대표 최영철)는 컨소시엄 주관사로서 2023년 제로 트러스트 보안 모델 실증사업과 2024년 도입 시범사업에 이어 올해 시범사업까지 3년 연속으로 제로 트러스트 관련 정부 지원 사업을 수주, 이 분야 국내 최다 수행 기업으로 자리매김했다. 국내 제로 트러스트 확산 역사를 주도적으로 써내려 가고 있는 자타공인 대표 기업이라 할 수 있다.

SGA솔루션즈 컨소시엄은 올해 신한은행의 모바일 개발망을 대상으로 사업을 진행하며 ▲금융권 자율보안 체계 구성을 위한 제로 트러스트 아키텍처(ZTA)와 ▲국가망보안체계(N²SF) 기반의 안전한 모바일 개발 환경 체계를 구축하는 것을 궁극적 목표로 삼았다.

이를 위해 제로 트러스트 가이드라인 2.0에서 제시하는 ‘성숙도 4단계’ 수준을 준용하고, 제로 트러스트 세부 역량 기준에 맞춰 안전한 모바일 개발 환경을 구축하게 된다. 또한 국가망보안체계(N²SF)에서 제시하는 연구개발망의 보안통제항목을 ZTA에 기반해 달성한다는 계획이다. 이는 최신 ZTA 보안 모델뿐만 아니라 동시에 새로운 국가보안 정책까지 만족하는 모바일 개발 환경을 구축하는 것을 의미한다.

SGA솔루션즈 측은 “이러한 목표 달성을 통해 수요기업에서는 디지털금융보안법의 선제적 대응을 기반으로 자율보안 체계 전환의 기반을 마련할 수 있다. 또한 제로 트러스트 보안 모델 도입으로 기존에 비해 개선된 연구개발 환경을 보유할 수 있게 돼 금융권 경쟁력을 제고할 수 있게 된다”고 설명했다.

금융권 자율보안 체계 구현 앞장

SGA솔루션즈는 앤앤에스피(NNSP, 대표 김일용), 에스에스알(SSR, 대표 고필주)과 함께 컨소시엄을 구성했다. ‘금융권 자율보안 체계 전환 대응을 위한 제로 트러스트 보안 모델 구축’을 목표로 ▲자율보안 체계 전환을 위한 선제적 보안 체계 확보 ▲제로 트러스트와 N²SF를 결합한 보안 모델 구현 ▲제로 트러스트의 모든 핵심 요소를 포함하는 모델 구현 등을 추진한다.

이를 위해 ▲자율보안 체계 전환 ▲개발 환경 보안 강화 ▲제로 트러스트 가이드라인 2.0 준용 ▲풀스택 ZTA 등 4대 추진 전략을 기반으로 사업을 추진할 예정이다.

각 업체별로 살펴보면, 먼저 주관사인 SGA솔루션즈는 수요기업의 연구개발 환경을 대상으로 제로 트러스트 보안 모델 통합 아키텍처를 제시하고, SGA만의 풀스택 제로 트러스트 아키텍처(Full-Stack ZTA)에 부합하는 제로 트러스트 보안 모델의 구축과 운영을 지원한다. 또한 SGA만의 ZTA 컨설팅 방법론을 통해 도입 후 효과를 분석, 도출한다.

앤앤에스피는 제로 트러스트 보안 모델의 네트워크 영역 구현을 담당, SGA솔루션즈의 제로 트러스트 솔루션과의 연계를 통해 통합 환경을 구축한다. N²SF 환경 하에서 클라우드(SaaS)와 생성형 AI를 사용할 수 있도록 중계형 보안 게이트웨이 ‘앤넷CDS CSG(Cloud Security Gateway)’를 제공해 망 보안체계를 강화한다. 즉 S(Sensitive) 영역에서 요구하는 ‘외부 SaaS 이용 시 안전한 인터넷 사용 환경 구축’ 역할을 맡은 것이다. 앤넷CDS CSG는 생성형 AI나 SaaS 도입 시 내부 정보 유출과 외부 악성코드 유입을 차단해 내부 업무망을 보호한다. 제로 트러스트 기반 설계로 내부망에서 외부 서비스로의 비인가 접근을 차단하고, 인터넷이 허용된 개발망 내 정보 유출과 사이버 위협을 차단할 수 있다.

에스에스알은 제로 트러스트 모델의 데이터 보안 영역을 구현한다. 소스코드 내 민감정보 등과 같은 중요 데이터 취약점과 웹 취약점 등을 점검할 수 있도록 지원함으로써 개발 단계 보안 강화에서 핵심 역할을 수행한다. 이는 데브섹옵스(DevSecOps) 환경 구축의 기반이 된다.

제로 트러스트 레퍼런스 전 영역으로 확대

SGA솔루션즈는 2025년 시범 사업 수행을 통해 금융권 자율보안체계 전환 1단계를 진행, 제로 트러스트 보안 모델을 본격적으로 도입할 수 있는 기반을 마련한다는 전략이다. 이후 제로 트러스트 본 사업을 통해 본격적인 자율보안체계 전환을 목표로 할 수 있도록 하고, 최종적으로 제로 트러스트 아키텍처의 최적화를 통해 금융그룹 전체의 ZTA 표준을 선도한다는 계획이다.

또한 SGA솔루션즈는 올해 사업을 통해 다양한 영역에서의 레퍼런스를 축적함과 동시에, 기술력을 축적하고 고도화할 예정이다. 금융 분야를 시작으로 공공, 민간, 국방 영역까지 자체 보유한 국내 유일의 풀스택 ZTA를 적용함으로써 신 보안체계의 적용을 선도한다는 전략이다.

SGA솔루션즈 최영철 대표는 “3년 연속 주관사 선정은 기술적 우위와 현장 적용성 검증 능력을 종합적으로 인정받은 결과”라며 “금융사가 클라우드 전환 가속화 시대에 필수적인 선제적 보안 체계 구축에 기여할 것”이라고 강조했다.