[취재.txt] 국내 제로 트러스트 확산 ‘제자리걸음’…美처럼 명문화해야

[아이티데일리] 제로 트러스트 보안 모델은 네트워크 경계를 신뢰 대신 지속적 검증으로 대체해 보안 수준을 획기적으로 높이는 차세대 패러다임이다. 하지만 한국은 몇 년째 여전히 실증·시범사업 단계를 벗어나지 못하고 있어 보안 업계가 답답함을 토로하고 있다. 관계자들은 현장 도입을 촉진할 상위법 차원의 명문화 없이는 실증 성과마저 현장 전환으로 이어지기 어렵다고 우려 섞인 지적을 하고 있다.

미국 바이든 행정부는 2021년 5월 행정명령(EO 14028)을 통해 모든 연방 기관장에게 60일 내에 제로 트러스트 아키텍처 구축 계획을 수립·제출하도록 명령했다. 이 조치 이후 연방 기관들은 다중요소 인증(MFA) 및 암호화 의무화, CISA(사이버보안 및 인프라 보안국) 주도의 보안 성숙도 모델 배포 등으로 보안 체계를 빠르게 강화했으며, 보안 업계 역시 정부 지원 근거를 토대로 제로 트러스트 솔루션 연구·개발에 속도를 냈다.

한국 정부도 이 같은 미국발 대격변을 인지하고 과학기술정보통신부 및 한국인터넷진흥원(KISA)을 중심으로 사이버 보안 강화 노력을 이어왔다. 2023년 제로 트러스트 가이드라인 1.0에 이어 2024년 2.0 버전을 발표하고, 2023년 ‘제로 트러스트 보안 모델 실증사업’에 이어 2024년과 2025년에는 ‘제로 트러스트 도입 시범사업’ 등을 진행한 것이다. 하지만 어느덧 3년째, 금융권과 일부 선도 기업을 중심으로 검증을 시도하고만 있을 뿐 본격적인 시장 확산은 시작도 되지 않았다고 봐도 무방한 것이 현실이다.

최근 SK텔레콤, 예스24 등과 같은 대규모 침해 사건이 발생하면서 사이버 보안의 중요성이 도마에 올랐다. 그런데 기업의 안일한 보안 태세만을 이런 사고의 전적인 원인으로 돌릴 수 있을까. 사고가 터지면 국민으로부터 질책과 비난이 쏟아지지만, 사실 보안 전문가들은 그들 뿐 아니라 현재 공공기관과 기업의 보안 수준에서는 언제든 누구나 대상이 될 수 있다고 말한다. 사이버 보안 관련 제도에 근본적인 변화가 필요하다는 얘기다.

물론 최근 사이버 보안 업계는 큰 변화를 앞두고 있긴 하다. 국가정보원이 2024년 9월 N²SF(국가망보안체계) 로드맵을 공개하고 2025년 1월 가이드라인 드래프트 버전에 이어 7월 중 정식 가이드라인 발표를 예고한 것이다. 다만 N²SF는 국가 정보시스템을 중요도에 따라 등급별로 분류한 뒤 각 등급에 맞는 보안 조치를 해야 한다는 내용이 핵심이고, 거기에 제로 트러스트를 연계하는 방법만을 고려하는 수준이라는 점에서 한계가 있을 것으로 보인다는 게 문제다.

따라서 제로 트러스트가 실증을 넘어 실질적 확산으로 이어지려면 대통령령이나 실효적 효과를 낼 수 있는 상위 법령을 통해 제로 트러스트 적용을 명문화하고, 미국처럼 중앙 부처와 공공기관에 중·단기적인 예산·조달·운영 계획 수립 의무를 부과해야 할 필요가 있다. 상위법의 강제력이 뒷받침될 때 비로소 국내에서도 제로 트러스트가 공공기관 및 기업의 본격적인 도입으로 연결될 것이란 얘기다. 그리고 나아가 이를 기반으로 국내 보안 기업들도 제로 트러스트로 해외 진출을 타진할 수 있을 것이다.

최근 만난 보안 업계 한 관계자는 “이번 정부도 국가안보실을 대한민국 사이버 안보의 컨트롤타워로 할지, 아니면 군사·공공·민간을 통합한 컨트롤타워를 새롭게 세울지 아직은 알려진 바가 없다. 어쨌든 한 가지 보안인으로서 바라는 것은, 대한민국 사이버 보안을 정말로 강화하려면 제로 트러스트를 빠르게 확산하는 것부터 시작해봐야 한다는 것이고, 이를 최상위 컨트롤타워가 못박아야 한다는 것”이라고 제언했다. 대한민국 사이버 보안 강화를 위한 새 정부의 의미 있는 결정을 기대해 본다.