7일 NIA 서울사무소에서 진행된 제로 트러스트 현장 간담회에 참석한 박윤규 과기정통부 제2차관

[디지털데일리 이종현기자] 결코 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify). 사이버보안의 새로운 표준으로 등장한 제로 트러스트(Zeru Trust)의 핵심 철학이다. 전통적인 네트워크 중심의 경계 보안에 더해 실시간 가시성과 지속적 인증 등이 더해진 개념이다.

제로 트러스트가 본격적으로 확산된 것은 미국에서부터다. 조 바이든 미국 대통령이 임기를 시작하기 직전인 2020년12월 발생한 솔라윈즈(SolarWinds) 사태가 계기가 됐다고 평가된다. 솔라윈즈의 정보기술(IT) 모니터링 솔루션 ‘오리온’이 해커들의 공격 통로로 활용된 건으로, 제로 트러스트와 공급망보안의 중요성을 부각시키는 계기가 됐다.

바이든 행정부는 2021년5월 제로 트러스트 아키텍처를 구현하는 것을 골자로 하는 행정명령을 발표했다. 유럽연합(EU) 및 일본 등에서도 제로 트러스트를 받아들이는 추세다. 국내에서도 2022년10월 제로트러스트, 공급망보안 포럼이 발족됐다.

7일 과학기술정보통신부(이하 과기정통부)가 개최한 ‘제로 트러스트 현장 간담회’는 이런 포럼의 활동 및 연구 결과물인 ‘제로 트러스트 가이드라인 1.0’과 하반기 진행될 제로 트러스트 실증 사업에 대해 소개하기 위해 진행됐다.

과기정통부 박윤규 제2차관은 인사말을 통해 “사이버보안 분야 국제 표준화를 주도하고 있는 제로 트러스트 포럼 소속 위원님들, 또 제로 트러스트 보안 모델 실증 사업에 참여해주신 기업 관계자분들께도 감사 말씀 드린다. 오늘 이 자리는 경계 보안 모델을 넘어 제로 트러스트 보안 모델 도입을 위한 긴 여정의 출발점”이라고 전했다.

이어서 “정부는 작년 10월 제로 트러스트 보안 모델 도입을 위해 산·학·연 전문가들이 참여하는 제로 트러스트 포럼을 발족시켰다. 1년도 되지 않은 시점에 최초의 가이드라인을 마련하는 동시에 순수 국산 기술로 국내 기업의 환경에서 제로 트러스트 보안 모델을 실증할 수 있는 준비를 마쳤다”고도 전했다.

과기정통부는 지난 4월 제로 트러스트 모델 발굴·확산을 위한 참가기업을 모집한 바 있다. 여러 업무 환경에 적용 가능한 제로 트러스트 보안 모델 구현 및 실증 비용과 보안 모델에 대한 보안성 분석·평가를 지원하는 것이 골자다.

사업에는 SGA솔루션즈와 자회사 SGN을 비롯해 지니언스, 소프트캠프 등으로 구성된 SGA솔루션즈 컨소시엄, 그리고 프라이빗테크놀로지와 한글과컴퓨터, 네이버클라우드, 메가존클라우드 등으로 구성된 한국IoT융합사업협동조합 등이 참여한다. SGA솔루션즈 컨소시엄의 수요기관은 NHN클라우드, 넷마블 등이며 한국IoT융합사업협동조합의 수요기관은 LG유플러스, 한국지능정보사회진흥원(NIA) 등이다.

7일 NIA 서울사무소에서 진행된 제로 트러스트 현장 간담회 모습

각 컨소시엄이 실증 사업을 수행한 뒤 실제로 보안성이 강화됐는지에 대한 검증 절차도 진행된다. 이는 침해대응 기업 엔키가 수행한다. 엔키는 ‘데프콘’ 등 국제해킹대회에서 입상한 전문가를 다수 보유했다.

엔키 이성권 대표는 “기존의 모델이 갖고 있는 문제점을 해결하기 위해 제로 트러스트라는 새로운 모델이 나왔고, 이것이 얼마나 효과가 있는지를 제로 트러스트 모델 적용 전·후 침투 테스트를 해 효과성을 분석하는 것이 우리 임무다. 제로 트러스트 분야 많은 전문가들과 협력해 여러 시나리오를 도출하고, 제로 트러스트에 대한 효과성 분석 보고서를 제출하겠다”고 피력했다.

박 차관은 “기존의 경계 보안 모델에 대한 한계를 명확히 보여줬다고 생각한다. 2개 컨소시엄이 7개 기업 환경에 제로 트러스트 보안 모델을 적용하고, 보안성을 검증할 수 있도록 침투 시나리오를 개발하는 등 도입 전·후로 향상된 보안성을 입증할 것”이라며 “실증 사업의 결과물은 포럼 전문가들의 분석을 바탕으로 내년 발표할 예정이다. 많은 전문가들의 조언을 바탕으로 제로 트러스트가 새로운 보안 기준으로 우리나라에 확립될 수 있도록 노력하겠다”고 밝혔다.