제로 트러스트가 차세대 보안 패러다임으로 떠오른 가운데 국내 기업이 핵심 구현 원칙 중 '인증체계 강화'를 가장 중요하게 여기는 것으로 나타났다. 제로 트러스트를 구현하는 데 있어 인증체계 강화가 현실적으로 가장 빠르게 효과를 거둘 수 있는 데다 코로나19 펜데믹 이후 활성화한 원격근무에 대응할 수 있어서다.
제로 트러스트 위원회(KOZETA)는 30일 서울 서초구 한국컨퍼런스센터에서 열린 '제로 트러스트 활성화를 위한 컨퍼런스'에서 이 같은 내용을 담은 제로 트러스트 실태조사를 발표했다. KOZETA는 한국정보보호산업협회(KISIA)가 주도해 지난 3월 설립한 위원회다.
제로 트러스트는 기존 경계 기반 보안체계를 보완하는 보안 개념이다. 신뢰성이 보장되지 않은 네트워크 환경을 가정해 다양한 컴퓨팅 자원에 대한 지속 접근 요구에 최소한의 권한을 부여하고, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 게 핵심이다. 제로 트러스트 구현을 위한 핵심 3원칙으론 △인증 체계 강화 △마이크로 세그멘테이션(초세분화) △소프트웨어 정의 경계(SDP)가 꼽힌다.
KOZETA는 8월 28일부터 10월 6일까지 40일간 국내 제로 트러스트 기술 수준과 수요기업 적용 현황을 파악하기 위해 실태조사를 진행했다. 조사엔 수요기업 200개사와 공급기업 50개사가 참여했다.
조사결과, 수요기업과 공급기업 모두 '인증 체계 강화' 중요성에 한목소리를 냈다. 수요기업은 무려 65.3%가, 공급기업은 54.1%가 '인증 체계 강화'가 가장 중요하다고 응답했다. 제로 트러스트 보안 환경과 자산 식별을 위한 출발점이 '인증'이므로, 제로 트러스트 보안 모델 구현의 핵심으로 인식한 것으로 보인다. 아울러 수요기업은 초세분화(18.7%), SDP(16.0%), 공급기업은 SDP(29.7%), 초세분화(16.2%) 순으로 꼽았다.
애로사항으론 수요기업은 기존에 구축한 보안 체계와 호환성 문제와 예산 부족을 토로했다. 공급기업은 경직된 인증체계와 국가 공공기관 도입정책 부재, 전문인력 부족, 수요기업의 제로 트러스트 도입 인식 부족 등 전반적으로 어려움을 느끼고 있었다. 특히 제로 트러스트는 단일 제품이 아닌 기존 보안체계의 모든 구성요소를 연동하는 개념이기 때문에, 기존의 공통평가기준(CC) 인증 등 단일 솔루션 인증체계는 한계가 있다는 지적이 나온다.
KISIA 관계자 “제로 트러스트 보안체계 구축을 위해 정보보호 솔루션 간 호환성 확보가 필요하다”면서 “제로 트러스트 구현 성숙도와 제품 간 호환성을 평가할 수 있는 구체적인 기준과 방법론 등 세부정책이 요구된다”고 밝혔다.
이날 제로 트러스트 보안모델 구축 사례도 소개됐다. SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄은 현재 진행 중인 제로 트러스트 실증 사업에 대해 소개했다. 토스를 운영하는 비바리퍼블리카는 1년 6개월 전 제로 트러스트 보안 모델을 도입, 운영하고 있다. 비바리퍼블리카가 코로나19 이후 재택근무 비중이 늘면서 경계 밖에서도 내부망에 접근하는 업무가 증가하는 등 경계와 상관 없이 보안성을 높이는 방안을 모색해야 했다. 아이덴티티, 네트워크, 디바이스 등 세 가지 영역을 식별하고 문제점을 진단하고 나니 제로 트러스트 도입 필요성을 확신했다.
정연우 비바리퍼블리카 시큐리티 엔지니어는 “제로 트러스트는 하나의 제품이 아닌 영역별 보안성을 높이는 동시에 상호 보완하는 연계 기반으로 아키텍처를 구현했다”면서 “영역별 보안성 향상을 위한 기술과 이들 영역을 연계하는 기능 등에 대한 역량과 이해도가 필요하다”고 말했다.
조재학 기자 2jh@etnews.com