국내 기업 10곳 중 9곳 ‘제로트러스트’ 개념 “생소하다”
국회입법조사처 “홍보 및 인식개선 사업, 지원 제도 전무”
![[과학기술정보통신부]](http://cdn.ilyoseoul.xinglinshangwu.com/news/photo/202404/486980_424111_3640.jpg)
[일요서울 | 박정우 기자] 코로나19로 재택·원격 근무가 확산되며 어디서든 근무지 주요 서버에 접속할 수 있는 환경이 조성됐다. 편의성은 증진됐으나 동시에 보안이 취약해진 상황. 이에 모든 접속을 경계하고 체계적 확인 절차를 거치는 ‘제로트러스트’ 보안모델이 떠올랐다. 이미 미국, 싱가포르, 일본 등은 정부 차원에서 행정명령으로 체계 수립에 나섰고 글로벌 기업도 시장 선점을 위해 발로 뛰는 추세다.
반면 우리 정부의 반응은 미온적이다. 국회입법조사처는 “현재 우리나라는 ‘제로트러스트’ 관련 홍보 및 인식개선 사업, 기업 지원 제도가 부재하다”라고 지적했다. 국내 기업 10곳 중 9곳이 ‘제로트러스트 개념이 생소하다’고 답했으며 사용 의사 여부를 두고는 부정적 답변이 절반을 넘었다. 일각에서는 ‘디지털 강국의 모순’이라며 정재계의 적극적 투자 요구가 이어진다.
코로나19로 클라우드 기반 재택·원격 근무가 확산되는 사이, 사이버공격이 지능화·고도화됐다. 이에 기존 경계를 기반으로 하는 보안모델은 한계에 도달했다는 자성의 목소리가 나온다. 이런 환경에 대응하기 위해 새로운 보안모델인 ‘제로트러스트(Zero Trust)’가 대두됐다.
제로트러스트는 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’라는 표현으로 대변된다. 미국을 비롯한 전 세계 주요국의 정부와 기업도 제로트러스트 기반의 보안 체계를 도입에 열을 올리고 있다.
제로트러스트? 기존과 다른 점은
전통적 사이버보안 접근방식인 경계 기반 보안모델은 기업이나 조직의 네트워크 내·외부를 경계로 나눠 경계면에 방화벽 등을 구축한다. 이로써 외부에 존재하는 보안 위협으로부터 내부에 존재하는 데이터를 지킨다는 개념이다.
하지만 최근 IT 환경에 급격한 변화로 데이터가 내부에만 존재하는 것이 아닌 클라우드 상에도 존재할 수 있게 됐고, 기업 직원들이 다양한 단말기를 이용해 장소와 상관없이 내부 보안망에 원격으로 접속하는 경우가 많아지며 경계가 모호해졌다.
공격방식이 점차 정교해지고, 내부인에 의한 보안 사고도 점점 증가하면서, 각국 정부는 네트워크를 ‘신뢰’, ‘불신’으로 나누는 개념 자체를 배제하고 있다. 언제나 내·외부에 공격자가 존재할 수 있다는 전제를 근거로 제로트러스트를 도입에 나서는 것이 그 반증이다.
제로트러스트는 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않는다. 나아가 인증 후에도 끊임없이 신뢰성을 검증함으로서 기업 등의 정보 자산을 보호할 수 있는 모델이다.
정부, 국내 적용 제로트러스트 2종 공개
우리 정부도 최근 국가적 차원의 제로트러스트 도입·확산 계획을 밝히고, 관련 가이드라인을 발표했다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난해 12월 제로트러스트 보안 패러다임 전환을 위해 국내 기업망 환경에 적용할 수 있는 기본모델 2종을 공개했다.
이번 모델은 크게 클라우드형과 구축형 등 2가지 실증사례를 기반으로 개발됐다. 나아가 보안효과성 검증을 위해 침투시나리오 및 보안성 점검 체크리스트를 개발·적용해 제로트러스트 모델 확산 기반을 마련했다.
홍진배 과기부 네트워크정책실장은 “전 세계 국가들이 제로트러스트 보안모델을 도입하기 위해 국가적 차원에서 노력하고 있고, 글로벌 기업들은 신시장을 선점하려고 경쟁하고 있다”라고 설명했다.
이어 “과기부는 향후 제로트러스트 성숙도 모델을 계속 발전시켜 나가고, 국산 제로트러스트 보안모델의 성공적인 확산을 지원해 국가적 차원의 사이버보안 수준을 한 단계 높이는 한편, 국내 기업의 체계적인 해외진출도 지원하겠다”라고 덧붙였다.
과기부는 제로트러스트 모델 발굴·확산을 위해 지난해 6월부터 11월까지 총 10억 원 규모의 실증 지원사업을 진행했고, 올해는 60억 원의 예산을 배정했다. 하지만 일각에서는 보다 체계적이고 적극적인 정책 지원은 부족하다는 평이 존재한다.
‘제로트러스트’ 개념, 국내 기업 93.5% “잘 몰라”
국회입법조사처는 지난 2일 ‘제로트러스트, 새로운 보안 패러다임으로의 전환’ 보고서를 통해 제로트러스트에 대한 적극적 홍보와 인식제고가 필요하다고 밝히며, 현재 활성화를 위한 가장 큰 걸림돌은 기업의 인식 부족이라고 꼬집었다.
한국정보보호산업협회가 실시한 ‘국내 제로트러스트 관련 산업 실태조사’에 따르면 정보보호 솔루션 수요기업의 62.5%가 제로트러스트라는 용어를 모른다고 응답했으며, 31.0%의 기업이 용어는 들어봤으나 자세히 알지 못한다고 답변했다.
제로트러스트 도입과 관련해서는 도입 계획이 전혀 없다고 응답한 기업이 77.0%인 것으로 조사됐다. 이유로는 관련 정보가 부족하기 때문이라는 응답이 62.0%로 가장 높게 나타났다. 조사처는 이를 두고 정부 차원의 별도 홍보 및 인식개선 사업이 부재하다고 지적했다.
조사처는 “제로트러스트에 대한 기업의 인식수준이 낮은 상황임을 고려할 때 향후 개념과 도입 효과 등에 대해 적극 홍보하고, 도입 절차·방법 등에 대한 정보를 제공할 필요가 있다”라고 제시했다.
이어 “도입 관련 실효성 있는 지원 방안 마련이 필요한데, 제로트러스트 시스템을 구축·유지하는 데는 상당한 시간과 투자가 필요하다”라며 “자발적 참여를 유도하기 위해서는 구체적인 유인책이 필요하지만, 별도의 지원 제도가 없는 상황”이라고 덧붙였다.
미국, 이미 선두 주자로 우뚝
미국은 현재 정부 주도로 제로트러스트 보안전략을 강하게 추진하고 있다. 2014년과 2015년 두 차례 미국 연방정부 인사관리처 개인정보 유출사고 이후 미국 하원 감독개혁위원회는 해킹사고 방지를 위한 제로트러스트 모델 전환 노력을 권고했다.
이후 2021년 행정명령을 통해 연방정부의 제로트러스트 도입을 공식화하는 등 미국 정부는 적극적으로 관련 정책을 추진 중이다. 특히 바이든 대통령은 각 정부 기관장들이 NIST(미국표전기술연구소)의 표준 및 지침의 절차에 따르는 시스템 도입 계획을 개발하라고 지시했다.
싱가포르도 사이버보안 현대화 전략으로 제로트러스트 도입 원칙을 발표했다. 싱가포르 정부의 모든 애플리케이션 및 정보 기술 시스템은 제로트러스트 시스템이 적용된다. 영국과 일본도 제로트러스트 적용 정책을 발표했다.
전 세계 주요국이 제로트러스트 구현을 위한 국가 차원의 전략 및 대응 방안을 적극 마련하고 있는 가운데 우리나라도 제로트러스트의 신속한 확산을 위해 국가적 역량을 집중할 필요가 있다는 평가가 이어진다.