[주목! 제로 트러스트]SGA솔루션즈, 美 원칙·韓 가이드라인 준용 구현

SGA솔루션즈는 미국 국립표준기술원(NIST)이 발표한 'NIST SP 800-207'과 과학기술정보통신부 '제로 트러스트 가이드라인 1.0'을 구현할 수 있는 제로 트러스트 아키텍처 프레임워크 솔루션인 'SGA ZTA'을 출시했다.

SGA솔루션즈는 국내에서 제로 트러스트가 각광받기 전인 2021년 제로 트러스트라는 새로운 보안 개념을 기반으로 국가 연구과제에 참여하고 제품 개발에 많은 인력과 자원을 투입해 왔다. 이러한 노력의 결과로, 지난해 제로 트러스트 통합 보안 솔루션 'SGA ZTA'를 개발했다. 이를 기반으로 과기정통부와 한국인터넷진흥원(KISA)이 주관한 '제로 트러스트 보안 모델 실증지원 사업'에 참여해 관련 경험과 노하우를 축적했다.

제로 트러스트 보안 체계를 구현하려는 기업은 제로 트러스트 아키텍처를 설계하고 이를 구성할 수 있는 제로 트러스트 아키텍처 프레임워크를 최우선으로 구축해야 한다. 'SGA ZTA'는 이러한 제로 트러스트 아키텍처 기본 프레임워크 구성이 가능하다.

우선 SGA ZTA는 사용자 업무용 PC의 통합 엔드포인트 관리 UEM(Unified Endpoint Management)을 기반으로 사용자 디바이스의 리스크 스코어링 과정을 통해 디바이스의 신뢰점수(Trust Score)를 도출하고 이를 정책집행지점인 PDP(Policy Decision Point)에서 주요 정책지표로 사용될 수 있도록 한다.

또 PDP의 핵심인 제로 트러스트 보안 운영관리 시스템인 ICAM(Identity Credential Access Management)을 통해 사용자 다중인증(MFA), 사용자 계정 및 권한관리, 사용자 접근정책 관리 등 기능을 제공한다. 아울러 기업자원(Enterprise Resource)의 시스템 보호를 위해 PAM(Privileged Access Management) 게이트웨이 기반 정책집행지점 PEP(Policy Enforcement Point) 기능을 제공한다.

기업자원 시스템의 마이크로세그멘테이션(초세분화) 구성을 위한 측면이동(Lateral Movement) 방지 기능인 서버백신, 호스트 방화벽, 호스트 IPS, 애플리케이션 제어, 무결성 관리, 주요 파일 접근제어, 주요 명령어 접근통제 기능 등과 같은 마이크로 세그멘테이션 다중 보안 기능도 탑재했다.

더불어, 제로 트러스트 주요 기반 요소 중의 하나인 가시성 및 분석(Visibility & Analytics)을 위해 3D 시각화 및 분석 기능인 정책정보지점 PIP(Policy Information Point) 기능도 함께 제공한다.

SGA ZTA는 국내외 제로 트러스트 가이드라인을 모두 충족하며 엔드포인트 보안부터 시스템 보안을 아우르는 국내 유일의 '풀 스택(Full-Stack) ZTA'로 통한다. 기업·기관은 SGA ZTA를 도입함으로써 제로 트러스트 아키텍처를 구현할 수 있으며, SGA ZTA를 기반으로 다양한 보안솔루션의 연계·연동해 제로 트러스트 성숙도 모델(ZTMM·Zero Trust Maturity Model)에 최상위 단계를 구현할 수 있다.

SGA솔루션즈는 제로 트러스트 아키텍처 통합 보안 솔루션인 SGA ZTA를 제공하는 데 그치지 않고, 제로 트러스트 아키텍처 체계를 구현하기 위한 컨설팅도 제공하고 있다. SGA솔루션즈는 기업·기관이 제로 트러스트 도입을 위해 필요한 절차와 방안을 솔루션과 함께 제시할 수 있는 전문 기업과 협력관계를 형성해 도움을 받는 게 중요하다고 강조한다. SGA솔루션즈는 단편적인 제품만을 공급하는 형태가 아닌 제로 트러스트 아키텍처 프레임워크 솔루션을 제공하는 기업으로서, 제로 트러스트 도입을 위한 사전 단계부터 도입 이후까지의 로드맵과 방법론을 제공한다. 이를 통해 기업과 기관은 더 체계적이고 효율적인 제로 트러스트 도입 및 운영을 위한 지원을 받을 수 있다.

최영철 SGA솔루션즈 대표는 “SGA ZTA의 제로 트러스트 아키텍처 프레임워크 솔루션 공급하는 데 그치지 않겠다”며 “제로 트러스트 아키텍처 보안 도입 컨설팅 서비스를 통해 각 기업·기관이 효과적으로 제로 트러스트 도입을 준비할 수 있도록 도움을 주겠다”고 말했다.

최영철 SGA솔루션즈 대표.(SGA솔루션즈 제공)

〈인터뷰〉최영철 SGA솔루션즈 대표

-제로 트러스트 아키텍처 구현에 있어 자사 솔루션의 강점은

▲SGA솔루션즈의 'SGA ZTA' 솔루션은 'NIST SP 800-207'과 과학기술정보통신부·한국인터넷진흥원(KISA)의 '제로 트러스트 가이드라인 1.0'에서 제시하는 제로 트러스트 아키텍처 모델을 준용하며 제로 트러스트 아키텍처 프레임워크를 구성하는 솔루션이다. 제로 트러스트 보안 체계를 도입하려는 기업이나 기관이 어떤 보안 솔루션을 우선 도입해야 하고, 어떤 절차와 과정으로 추가 보안 솔루션들을 도입해야 하는지 결정하는 것이 중요한데 이를 위해서 제로 트러스트 아키텍처를 구성할 수 있는 기본적인 프레임워크를 갖추는 것이 필요하다.

SGA ZTA는 사용자 보안 솔루션, PDP, PEP, 그리고 기업자원의 시스템을 마이크로 세그멘테이션 솔루션과 함께 구성해 도입 기업이나 기관이 제로 트러스트 보안 체계를 구성하기 위한 기초 프레임워크를 제공하는 유일한 ZTA솔루션이다.

특히 SGA솔루션즈는 지난해 하반기 과기정통부·KISA '제로 트러스트 보안 모델 실증지원 사업' 수행했다. 국내 보안 기업 간 컨소시엄을 구성해 SGA ZTA 솔루션을 기반으로 각 사 보안 솔루션 연동 및 재구성으로 제로 트러스트 아키텍처를 더욱 공고하게 구축한 경험을 보유했다.

-제로 트러스트 도입과 관련해 기업에 하고 싶은 말이 있다면

▲제로 트러스트는 기존의 보안 개념과 관점을 상당 부분 재정립해야 하는 새로운 보안 패러다임이므로, 기관·기업에선 해당 개념을 이해하고 구축까지 이어지는 과정에서 예산 및 중장기 보안 강화 계획 수립에 어려움을 겪을 수 있다.

제로 트러스트 보안 체계를 도입할 땐 다양한 측면에서 검토하고 분석해야 할 사항들이 많으며, 때에 따라 C-레벨의 의사결정이 필요할 수 있다. 제로 트러스트 도입 전 컨설팅을 통해 제로 트러스트 보안의 도입 범위와 절차, 적용방법, 도입 전·후 비교 등을 도출해 최선의 방안을 도출할 수 있다.

SGA솔루션즈는 SGA ZTA의 제로 트러스트 아키텍처 프레임워크 솔루션 공급하는 데 그치지 않고 제로 트러스트 아키텍처 보안 도입 컨설팅 서비스를 통해 각 기업·기관이 효과적으로 제로 트러스트 도입을 준비할 수 있도록 도움을 줄 계획이다.

-향후 제로 트러스트를 비롯해 향후 회사 비전과 관련해 강조하거나 하고싶은 말이 있다면

▲SGA솔루션즈는 2021년 제로 트러스트 보안 국책과제와 최근의 제로 트러스트 실증사업을 수행하며 제로 트러스트 아키텍처를 깊이 이해하고 있는 제로 트러스트 보안 전문기업이다. 시장 트렌드와 고객 의견을 반영한 제로 트러스트 보안 솔루션을 출시하고 시장에 부응하고 있다.

SGA솔루션즈는 완전한 제로 트러스트 보안 체계를 실현하기 위해선 서로가 준비된 상황에서 상호 보완적인 형태로 완성해야 한다는 것에 충분히 공감하고 있다. 이를 위해 영역별 전문 보안기업과 협업에 열려 있는 자세로 준비하고 있으며, 다양한 보안기업 간 협력을 통해 제로 트러스트 보안을 발전시켜 나갈 수 있도록 노력하고 있다. 현재 시장에선 제로 트러스트 얼라이언스가 형성될 움직임이 나타나고 있으며 SGA솔루션즈는 이러한 환경에서 리딩 기업의 역할을 통해 국내 제로 트러스트 보안 산업 발전에 기여하려고 한다.

조재학 기자 2jh@etnews.com