제로 트러스터가 차세대 패러다임으로 떠오르며 보안 만병통치약으로 여겨지는 경향이 있지만 제로 트러스트로 모든 보안 문제를 해결할 수 있다는 건 오해라는 지적이 나왔다.
최영준 한국인터넷진흥원(KISA) 정책대응팀장은 최근 KISA가 개최한 기업간담회에서 “제로 트러스트는 위험을 완화할 수 있지만 모든 사이버 보안 위협이나 공격을 완벽히 제거할 수는 없다”고 말했다.
제로 트러스트는 '결코 신뢰하지 말고, 항상 검증하라'(Never trust, Always verify)는 핵심 철학을 바탕으로 기존 경계형 보안 체계를 보완하는 보안 개념이다. 코로나19 팬데믹 이후 원격·재택근무와 비대면 환경이 조성되고 경계형 보안 체계가 한계에 봉착하면서 새로운 보안 모델로 각광받고 있다.
제로 트러스트가 사이버 보안 시장 핵심 키워드로 자리매김하다 보니 정보보호 기업들이 제로 트러스트 솔루션을 마케팅 용어로 활용하면서 오해를 키워왔다.
최 팀장은 “제로 트러스트는 철학적 개념으로, 솔루션 구매로만 보안을 강화했다고 말할 수 없고 도입 후에도 여러 가지 고민해야 할 부분이 많다”면서 “구글 등 글로벌 빅테크 기업도 지속적으로 테스트하는 등 아직 모범안(Best Practice)이 부족한 상태”라고 말했다. 그러면서 “내년에 당장 도입한다는 계획을 세울 것이 아니라 3~5년이나 10년까지 장기간에 걸친 도입 계획을 고민해야 한다”고 덧붙였다
최 팀장은 제로 트러스트를 체계적으로 도입할 것을 재차 강조했다. 그는 “제로 트러스트 도입은 많은 자원과 시간, 소요예산 등이 필요한 작업이므로 충분한 검토와 체계적인 준비가 필요하다”면서 “도입 전에 사용 중인 보안 솔루션을 먼저 파악한 뒤 제로 트러스트 핵심요소와 성숙도 모델을 기반으로 로드맵을 수립해야 한다”고 말했다.
현재 SGA솔루션 컨소시엄과 프라이빗테크놀러지 컨소시엄이 통신·금융·공공 분야 등 다양한 환경에서 제로 트러스트 보안 모델을 실증하고 있다.
최 팀장은 “실증 사례 등을 포함해 제로 트러스트 가이드라인을 고도화할 예정”이라고 말했다.
조재학 기자 2jh@etnews.com
