15일 제로 트러스트 가이드라인 1.0의 추진 배경 및 상세 내용을 소개 중인 KISA 최영준 정책대응팀장 ⓒKISA

[디지털데일리 이종현기자] 정부가 제로 트러스트(Zero Trust) 보안 모델 발굴에 박차를 가하는 중이다. 경계(네트워크) 기반의 보안으로는 충분치 않다는 문제의식에 기반한 것이다. 보안 패러다임 전환이 예고된 가운데 전 세계에 유효할 만한 사례 및 표준 마련에도 속도를 내고 있다.

제로 트러스트는 ‘그 무엇도 신뢰하지 말라’는 의미의 보안 방법론이다. 기존에는 방화벽으로 대표되는 네트워크 보안 기술을 바탕으로, 이를 통과해 내부에 들어온 것은 신뢰(Trust)하는 것을 전제로 보안을 설계했다. 정해진 공간에서, 정해진 이들만 업무 시스템에 접근했기에 가능한 일이다.

하지만 클라우드의 확산으로 지켜야 할 시스템을 네트워크로 구분하는 데 한계가 왔다. 코로나19로 직원들의 원격‧재택근무도 크게 늘었다. 직원의 계정정보를 탈취해 내부 시스템에 침입하는 사례도 이어지고 있다. 경계뿐만 아니라 전방위적인 보안 적용이 불가피한 배경이다.

제로 트러스트에 대한 논의를 처음 시작한 것은 미국이다. 조 바이든 미국 대통령은 2021년 제로 트러스트 모델 적용을 위한 행정명령을 발표했다. 이후 2022년 윤석열 정부는 제로 트러스트 및 공급망 보안 포럼을 발족, 국내 환경에 적합한 제로 트러스트 모델 발굴 논의를 시작했고 지난 7월 과학기술정보통신부(이하 과기정통부)가 ‘제로 트러스트 가이드라인 1.0(이하 가이드라인)’도 내놨다.

한국인터넷진흥원(KISA) 최영준 정책대응팀장은 제로 트러스트 보안 모델이 확산되는 배경으로 2022년 랩서스(LAPSUS$)가 삼성전자를 해킹해 내부 데이터를 유출한 건, 2021년 다크사이드(Darkside) 미국 송유관 관리업체 콜로니얼 파이프라인을 공격해 4일간 전산시스템을 마비시킨 건 등 기존 보안 정책으로는 막기 힘든 공격이 지속해서 늘고 있다는 점을 꼽았다.

ⓒKISA

또 그는 “제로 트러스트는 정보 시스템 등에 대한 접속 요구가 있을 때마다 네트워크가 이미 침해된 것으로 간주하고, 절대 믿지 말고 계속해서 검증하라는 보안 개념이다. 이를 기본 철학으로 강화된 인증, 마이크로 세그멘테이션, 소프트웨어 정의 경계 등 원칙을 준수하며 구현해야 한다”고 강조했다.

다만 가이드라인은 ‘어떠한 기술을 도입해라’는 안내보다는 제로 트러스트가 무엇인지, 왜 도입해야 하는지, 어떻게 도입해야 하는지 등에 대한 내용이 담겨 있다. 제로 트러스트에 대한 정보를 총망라한 일종의 백서(白書)와 같은 성격이다. 다만 ‘어떤 기술을 통해 제로 트러스트를 구현할 수 있다’는 식의, 구체적인 방향은 제시하지 않았다.

한국인터넷진흥원(KISA) 최영준 정책대응팀장은 “민간기업과 공공기관 등, 보안을 도입해야 할 대상마다 보유하고 있는 기술, 환경이 너무나도 다르기 때문에 너무 상세하게 안내하면 도입이 어려울 수 있다. 그렇기에 상위 수준에서, 기술보다는 개념적인 내용을 설명하는 데 집중했다”고 말했다.

실제 사이버보안 기업들은 마케팅 용어로서 자사 제품을 ‘제로 트러스트 솔루션’이라고 내세우고 있다. 제로 트러스트는 특정 기술이 아닌 보안 환경 조성을 위한 철학에 가깝기에 생기는 일이다. 실제로 방화벽이나 백신과 같은 전통적인 보안 기술 역시도 제로 트러스트의 일부를 구성할 수 있다.

과기정통부와 KISA는 향후에도 제로 트러스트를 위한 구체적인 기술을 명시하지는 않겠다는 방침이다. 그 대안으로 여러 기업들과 함께 제로 트러스트 모델 실증 사업을 추진한다. 올해 하반기 SGA솔루션즈와 프라이빗테크놀로지가 각각 컨소시엄을 꾸려 2개 모델을 제시한다. 내년에도 추가 실증사업을 추진, 보다 다양한 사례를 만들어 기업‧기관들의 제로 트러스트 보안 구현을 돕겠다는 전략이다. 또 추가 내용을 담은 가이드라인 2.0도 준비 중이다.

다만 일각에서는 가이드라인이 지나치게 모호하다는 비판도 제기된다. 제로 트러스트라는 추상적인 키워드를 보다 명확하게 해주는 것이 가이드라인의 역할인데, 현행 가이드라인만으로는 부족하다는 목소리도 나온다. 시장에서 ‘제로 트러스트를 위한 솔루션’이라고 하는 제품이 난립하는 만큼, 이에 대한 교통정리를 해줬으면 한다는 의견도 나오는 중이다.

이와 관련한 문제는 국가정보원(이하 국정원)이 준비 중인 제로 트러스트 가이드라인이 발간된다면 일정부분 해소될 것으로 보인다. 과기정통부와 KISA가 발간한 가이드라인의 경우 강제성이 없지만 국정원의 경우 공공기관에 납품하기 위한 자격요건 등을 함께 발표할 것으로 알려졌다.