"그 누구도 믿지 말고 검증하라." 올해 보안 시장의 핵심 화두로 '제로 트러스트(Zero Trust)'가 떠올랐다. 주요국은 국가 차원의 원칙과 행정명령을 통해 제로 트러스트를 본격 도입한 상황이다. 그렇다면 한국의 현주소는 어디일까. 한국판 제로 트러스트 추진 상황과, 우려 및 개선 사항을 3편에 걸쳐 살펴본다. <편집자주>

[디지털데일리 김보민기자] 민간과 공공 영역에 특화된 제로 트러스트 가이드라인이 출격을 앞두고 있다. 민간은 두 번째, 공공은 첫 번째 가이드라인을 마련하게 된다.

국내 보안 기업들은 각 가이드라인에 담길 세부사항(디테일)에 집중하는 분위기다. 앞서 민간 가이드라인이 나왔지만, 보안 시장이 체감할 만한 변화가 없었기 때문이다. 일각에서는 민간과 공공이 제로 트러스트를 도입하겠다고 먼저 나설 만한 지원책, 혹은 법적 근거가 필요하다는 의견도 나오고 있다.

◆ 업계, "범용 적용 어려우면 무용지물"

과학기술정보통신부(이하 과기정통부)는 지난해 6월 '제로 트러스트 가이드라인 1.0'을 공개한 뒤 실증사업을 진행했다. 두 번째 민간용 가이드라인은 실증 사례를 기반으로 개선 사항을 포함해 올해 중 발표될 전망이다.

국가정보원(이하 국정원)은 공공용 가이드라인을 만들고 있다. 당초 업계에서는 올해 1월 중 공개될 가능성을 점쳤지만, 현재 일정이 늦춰진 상황이다. 국정원은 "망분리 정책이 도출되는 대로 제로 트러스트 가이드라인을 공개할 계획"이라고 설명했다.

현재 국정원은 윤석열 대통령 지시하에 범부처 태스크포스(TF)를 꾸리고 망분리 제도 개선안을 마련하고 있다. 국정원은 망분리 제도를 완화하더라도 보안 울타리가 약화되지 않도록 제로 트러스트 방식을 도입하는 방안을 고려하고 있다고 밝힌 바 있다. '선 망분리 정책, 후 제로 트러스트 가이드라인' 순으로 기반을 마련하겠다는 입장이다.

보안 업계는 상황을 예의주시하고 있다. 특히 민간용 가이드라인이 실제 제로 트러스트 생태계를 구축하기 위한 세부 사항을 담지 않는다면, 단순 개념을 정의하는 것 이상도 이하도 아니게 될 가능성이 큰 탓이다.

사이버 보안 기업 관계자는 "지난해 가이드라인 1.0이 나왔지만 사실상 사업 운영에 있어 큰 변화를 체감하지 못하고 있다"라며 "고객사의 경우 가이드라인에 맞춰 사업을 진행해야 한다는 인식이 있지만, 실제 현업 담당자가 사업안을 마련하기에 미흡한 점이 있다"라고 말했다.

특히 중견·중소 고객사들이 제로 트러스트 중요성을 현실로 받아들이기 어려워한다고 설명했다.

이 관계자는 "가이드라인 1.0이 제시한 대부분의 내용은 시스템통합(SI) 혹은 대형 엔터프라이즈 업체의 입장에서 작성됐기 때문에 범용으로 적용하기 어렵다"라며 "보안 위협에 취약하거나 예산, 시간, 전문 인력을 투입하기 어려운 중소 규모에서는 가이드라인에 따라 제로 트러스트를 도입하는 것 자체를 생각하기 힘들 것"이라고 말했다.

다른 보안 기업 관계자 또한 "제로 트러스트 도입을 꺼려 하는 이유는 간단하다"라며 "왜 새로운 보안 방법론이 필요한지, 어떻게 도입해야 하는지 인식이 부족한 탓"이라고 지적했다. 이어 "제로 트러스트와 관련해 명확하게 '무엇을 해야겠다'는 전략이 서지 않은 기업, 기관이 다수인만큼 실효성 있는 가이드라인이 필요해졌다"라고 강조했다.

이들은 기업 규모별로 적용할 수 있는 단계 전략과 대응을 제시할 필요가 있다고 입을 모았다. 실제 국내 업무 환경에 제로 트러스트를 적용한 성공 사례를 활발히 공유해야 인식이 제고될 수 있다는 점에도 공감을 표했다.

◆ 의견 수렴 한창, 필요시 법제화 가능성도

일단 민간 영역에서는 기업들이 제로 트러스트 환경을 구현할 때 필요한 부분과 애로사항을 수렴하는 작업이 이어지고 있다.

대표적으로 한국정보보호산업협회(KISIA)가 주도한 제로트러스트위원회(KOZETA)는 기업들이 기술 관련 이슈를 공유하고 활성화할 수 있도록 중간 역할을 수행하고 있다. 정부 실증사업에 참여하는 기업들이 사전에 준비해야 하는 요소들을 지원하는 작업도 맡고 있다.

협회 관계자는 "지난해의 경우 제로 트러스트에 대한 인식을 확산하는 데 집중했다면, 이제는 실제 어떤 액션(action)을 취할지 등을 정리하는 단계"라며 "향후 해를 거듭할 수록 심도 있는 논의가 이어질 전망"이라고 부연했다.

업계가 체감할 수 있을 정도로 생태계가 구축되려면 가이드라인 고도화는 물론, 법적 기반이 뒤따라야 할 필요도 커질 전망이다.

법적으로 제로 트러스트를 의무화하는 조항이 생기거나, 지원책이 늘어날 경우 자발적으로 자사 보안 방법론을 전환하는 기업이 늘어날 수 있기 때문이다. 공공 분야에서는 보안 기업들이 기관에 납품하기 위한 보안 솔루션을 구체화하는 데 도움이 될 수 있다.

염흥열 순천향대학교 교수는 "제로 트러스트는 패러다임을 변화시킬 수 있는 개념"이라며 "가이드라인 2.0의 경우 영역 간 상호 연동성, 모델 고도화 등의 내용을 담을 가능성이 있다"라고 말했다.

이어 "민간 기업이 전환을 추진할 수 있도록 법적 근거를 만들 필요성도 있다"라고 내다봤다. 정보보호관리체계(ISMS) 인증 체계나 공시 제도에 제로 트러스트 관련 내용을 포함하는 방식이다. 염 교수는 "다양한 제도 수단과 세부 정책 등 법적 기반이 마련될 것으로 생각한다"라고 강조했다.