[디지털데일리 김보민기자] '1년 6개월'. 정부가 2023년 7월 국내 첫 제로트러스트 가이드라인을 발표한 뒤 흐른 시간이다. 그 사이 보안 기업들이 참여한 시범 및 실증사업은 신호탄을 쏘아 올렸고, 지난해 12월 두 번째 가이드라인이 나오면서 신규 프로젝트도 출발선에 섰다.

제로트러스트는 외부뿐만 아니라 내부에서도 위협이 발생할 수 있다고 가정하는 보안 방법론으로 사용자, 기기(디바이스), 애플리케이션 등에 '확인'을 요구하는 것이 핵심이다. 신뢰할 수 없는 접근을 막고 데이터를 보호하자는 취지인데, 사이버 공격이 고도화되는 시점에 거스를 수 없는 흐름으로 여겨지고 있다.

국내 제로트러스트 흐름을 바라보는 시각은 두 갈래로 나뉘는 분위기다. 정부 가이드라인을 토대로 제로트러스트 보안이 성숙기에 접어들었다는 평가와, 주요국 대비 추진 속도가 빠르지 않아 새 취약점에 대응하지 못할 수 있다는 우려가 있다. 한국판 제로트러스트가 유행어에 그칠 수 있다는 우려도 여전하다.

후자에 공감하는 이들은 공공 영역에서 추진력이 뒷받침돼야 한다고 입을 모은다. 공공이 모범 사례를 보이는 것 만큼, 패러다임 전환에 효과적인 방법이 없기 때문이다. 보안 최대 시장을 갖춘 미국의 경우, 2020년 국립표준기술연구소(NIST)가 제로트러스트 아키텍처를 발표한 이후 이듬해 국가 사이버보안 강화 행정명령을 발표했고 연방정부 차원에서 도입을 본격화했다.

민간 영역에 집중한 국내와 대비되는 모습이다. 국내의 경우 민간 보안을 지원하는 과학기술정보통신부(이하 과기정통부)를 필두로 제로트러스트 가이드라인과 사업이 진행되고 있다. 두 번째 가이드라인은 제로트러스트 성숙도 수준을 평가하는 체크리스트를 통해 "정부·공공기관 보안 수준을 파악하는 용도로 활용하는 것은 적절하지 않다"고 명시하고 있다.

공공 보안을 이끄는 국가정보원(이하 국정원)에 대한 기대감이 커지는 이유다. 국정원은 오는 2월 국가망보안체계 정책을 담은 안내서를 발표할 것으로 예상되는데, 여기에 제로트러스트와 맥을 같이 하는 내용이 담길지 지켜볼 부분이다. 업무 중요도에 따라 데이터에 등급을 매겨 관리하자는 국정원의 정책 방향이 제로트러스트 방법론과 맥을 같이 하기 때문이다. 데이터 등급을 분류하는 과정에서 보안 대책을 수립하는 단계가 필수가 될 전망인데, 여기에 제로트러스트 평가 요소가 포함될 가능성이 있다고 보는 이도 있다.

국정원의 역할을 재정립할 카드로 제로트러스트를 사용해야 한다는 시각도 있다. 국정원이 추진하는 정책과 변화가 산업과 분야를 가리지 않고 전방위적인 관심을 받는 만큼, 공공보안 주도권을 공고히 할 기회가 될 수 있다는 취지다.

이제 우리는 정보화를 넘어 지능화 시대에 진입했다. 인공지능(AI) 기술이 고도화되면서 보안 방패를 강화하기 위한 작업은 더욱 까다로워지고 있다. 민간만 잘하는 보안은 의미가 없고, 공공의 현주소 또한 완벽한 보안이라고 칭할 수 없다. 1년 6개월이라는 지난 시간이 헛되지 않도록, 민간과 공공 모두 촘촘한 보안 체계를 갖추는 때가 앞당겨지기를 바라본다.