[디지털데일리 김보민기자] 신규 제로트러스트(Zero Trust) 가이드라인이 연내 출격을 앞둔 가운데, 세부 사항에 대한 윤곽이 나왔다. 첫 가이드라인이 제로 트러스트를 정의하는 데 집중했다면, 이번에는 실제 기업이 도입을 성공할 수 있도록 방법론을 제시하는 데 초점을 둘 전망이다.

이석준 가천대학교 교수는 24일 서울 서초구 더케이호텔에서 열린 정보보호 콘퍼런스 '넷섹(NetSec)-KR 2024' 무대에 올라 "이제 제로트러스트는 공공기관이나 기업이 반드시 검토해야 할 주제로 인식이 되고 있다"며 국내에 나온 그간의 성과를 소개했다. 이 교수는 제로트러스트포럼에서 제도 분과장을 맡고 있다.

앞서 과학기술정보통신부(이하 과기정통부)는 가이드라인 1.0을 통해 제로트러스트 개념과 구조(아키텍처)를 정의했다. 이전에는 기업망 단위에서 보안 전략을 꾀했다면, 리소스 단위로 소프트웨어(SW) 경계를 설정하는 것이 핵심이었다. '그 누구도 믿지 말고 경계하라'는 제로트러스트 원칙에 따라, 외부뿐만 아니라 내부에서 발생할 수 있는 보안 위협을 사전에 차단하자는 취지였다.

다만 첫 가이드라인이 나왔을 당시 업계 반응은 뜨뜻미지근했다. 이 교수는 "제로트러스트 가이드라인을 처음 만들었을 때 '우리 회사에 어떻게 적용할지 모르겠다'는 반응이 많았다"며 "실천을 하기 위한 구체적인 내용이 생략돼 있다는 의견도 있었다"고 말했다.

실제 제로트러스트를 체감하는 기업은 많지 않다. 일각에서는 제로트러스트를 하나의 솔루션으로 구현할 수 있다고 믿는 경우도 다반사다. 1.0 가이드라인이 배포된 지 약 1년의 시간이 지났지만, 실제 이를 도입해 실현한 기업은 적다는 의미다.

올해 공개되는 제로트러스트 가이드라인 2.0은 이러한 업계 애로사항을 보완하는 데 주력한다. 이 교수는 "지난해 발간한 가이드라인을 단순 고도화하는 것을 넘어, (제로트러스트를 도입할 때 필요한) 참조 사항과 모델을 제시하는 게 목적"이라고 강조했다. 공개 예상 시점은 올 9월이다.

이날 이 교수가 소개한 가이드라인 2.0 예상 목차를 살펴보면 ▲국내 제로트러스트 산업 실태조사 결과(수요기업 및 공급기업 관련 주요 현안) ▲국내 제로트러스트 도입 참조모델(클라우드, 온프레미스 포함) ▲제로트러스트 도입 검증 방안 ▲해외 제로트러스트 도입 참조 모델 ▲글로벌 특허 동향 등이 핵심이다.

수요기관이나 기업뿐만 아니라 공급 기업 측면에서도 제품을 개발할 때 고려해야 할 사항이 담길 전망이다. 지난해 추진한 실증사업에 대한 결과도 일부 포함될 가능성이 있다.

이 교수는 "제로트러스트를 도입하고 구축하는 과정은 복잡할 뿐만 아니라 장기간의 시간이 필요하다"며 "다만 긴 시간 전략을 펼치는 게 일반 기업 입장에서는 쉽지 않다"고 말했다. 이어 "실제 성공적으로 구현해 운용하는 사례도 없고, 도입 환경과 비용도 예측이 어려워지면서 기업들의 고민이 커지는 상황이라 세부 전략을 세우는 데 도움이 될 수 있도록 준비 중"이라고 강조했다.