국내 환경에 적합한 제로트러스트 보안 도입을 위해 기업 상황과 성숙도 수준에 맞는 전략 및 목표 설정을 통해 장기간 투자가 필요하다는 전문가의 의견이 제시됐다. 이를 위해 제로트러스트 보안에 대한 전반적 인식을 제고하기 위한 정책 마련과, 모델 구축 시 기존 보안 제품과의 호환성이 강조되고 있다.
韓 제로트러스트 수요기업 인식 제고 필요성↑
과기부, 업무환경별 제로트러스트 모델 2개 발표
“제로트러스트 구현은 인프라나 절차의 교체를 위한 솔루션이 아닌 긴 여정이다”
국내 환경에 적합한 제로트러스트 보안 도입을 위해 기업 상황과 성숙도 수준에 맞는 전략 및 목표 설정을 통한 장기간 투자가 필요하다는 전문가의 의견이 제시됐다. 이를 위해 제로트러스트 보안에 대한 전반적 인식을 제고하기 위한 정책 마련과, 모델 구축 시 기존 보안 제품과의 호환성이 강조되고 있다.
과기부와 한국인터넷진흥원(KISA)이 11일 페어몬트 앰배서더에서 개최한 제로트러스트 보안 모델 실증 성과공유회에서 제로트러스트 보안의 도입 실증 성과와 전략이 논의됐다.
‘제로트러스트(Zero Trust)’는 이미 내부에 감염이 있다는 것을 가정하고 지속적으로 검증해 신뢰성을 얻어 보안성을 높인다는 보안 전략이다. 최근에는 기존 네트워크 보안에서 기업망의 모든 핵심 요소로 개념이 확장됐다.
제로트러스트 보안 개념은 2014년 미 연방정부 인사관리처 2천만명의 개인정보 유출사고 이후 급속도로 확대됐고, 국내에도 코로나 팬데믹 이후 디지털 전환과 비대면 업무 증가 및 사이버 위협이 지능화되는 가운데 주목받기 시작했다.
지난 2022년 10월에는 국내 제로트러스트포럼이 출범, 공공민간 제로트러스트 도입 전략을 수립하고, 국내 기업 경쟁력 강화를 위해 2023년 7월 제로트러스트 가이드라인 1.0이 발표됐다.
그러나 이러한 제로트러스트 보안의 중요성에도 불구하고 현재 제로트러스트는 국내에서 꽃피우기까지 시간이 걸릴 것으로 예측되고 있다.
상명대학교 유진호 교수에 따르면 제로트러스트 수요기업 절반 이상인 62.5%은 “모른다”고 답했다. 또한 대다수인 77%는 “도입 계획이 없다”고 답했다.
이중 제로트러스트에 대한 ‘정보 부족’이 62%로 제로트러스트 도입 의향이 없는 주된 문제점으로 드러났다. 수요기업은 도입의 필요성을 인지하지 못해 투자할 가치를 못 느끼고 있다는 점이 궁극적인 한계다.
이에 따라 수요기업의 78.3%는 ‘제로트러스트 필요성의 인식제고’를 가장 중요한 정책이라 여겼다. 정부가 보안모델이 초창기인 만큼 도입에 따른 인센티브, 기존 보안체계 대비 차별점에 대한 인식을 제고해야 한다는 설명이다. 이를 위해 수요기업이 영역별 받아들일 수 있는 세분화 된 실천 로드맵이 강조된다.
유 교수는 “제로트러스트 보안 도입이 수요기업에게 무엇을 줄 수 있는지 고민해야 하는 것이 1단계에서 할 일”이라고 주장했다. 또한 “제로트러스트 글로벌 공급기업은 API를 개방함으로써 솔루션간 호환성을 확보하고, 기업 간 신뢰 있는 환경을 구축해야 한다”며, “지속적인 수요기업-공급기업 실증사업을 통해 국내 환경에 적합한 제로트러스트 모델 우수사례를 확산해야 한다”고 주장했다.
■ 과기부, K-제로트러스트 보안 모델 발표
이날 과기부는 국내 기업망 환경에 적용할 수 있는 ‘제로트러스트 기본모델’ 2종으로 클라우드형 및 구축형(온프레미스) 모델을 발표했다. 또한 보안 효과성 검증을 위한 시나리오를 수립했다.
국산 제로트러스트(K-제로트러스트) 보안 모델 실증사업은 올해 7월 가이드라인 발간 후 첫 삽을 떴다.
우선 클라우드 기반 제로트러스트 보안모델을 적용해 서비스, 서버, 어플리케이션, 데이터 등을 각각 논리적으로 분리해 보호할 수 있다. 이를 통해 향후 SaaS 어플리케이션에 제로트러스트 보안을 적용하기 용이해진다.
통신 영역에서도 국내 통신망 디도스 공격이 발생할 수 있는 취약점을 개선했다. 무선통신망 환경의 문제점을 PEP(정책시행지점)가 탑재된 전용 라우터를 개발 및 적용해 원천으로 차단할 수 있다.
또한 온프레미스 환경에서도 가상사설망 기반의 원격 및 재택 근무 시 접속 단계부터 보안을 강화하고, 맞춤형 제로트러스트 보안모델 제공의 가능성을 확인했다.
2024년 과기부는 총 62억원의 신규 예산을 통해 실증사업 지원 대상을 확대하고, 내년 상반기 가이드라인 2.0를 발간할 계획이다.
과기부 정은수 정보보호산업과장은 “가이드라인 2.0에는 실증 사례를 기반으로 구체화 및 기존 보안 제도와 연계성을 갖고, 법 제도 측면에서 확산을 이끌어낼 부분을 고민하겠다”고 말했다.
또한 “향후 산업 도메인별로 특이 사항을 분석해 실질적으로 필요한 모델을 구현함으로써 실제 시장 수요에 맞게 확대하겠다”고 말했다.
.jpg)
.jpg)
