차세대 보안 패러다임으로 제로 트러스트가 떠오르는 가운데 한국형(K) 제로 트러스트 보안을 공유하는 행사가 열렸다. 수요기업엔 다소 생소한 제로 트러스트 보안 개념을 소개하고 한국 정보기술(IT) 환경에 맞는 K-제로 트러스트 보안에 대한 궁금증을 해결하기 위한 자리다.
SGA솔루션즈 컨소시엄은 14일 서울 강남구 GS타워 아모리스홀에서 열린 '제로 트러스트 실증 사업 컨퍼런스'를 개최했다.
SGA솔루션즈를 필두로 에스지엔(SGN)·지니언스·소프트캠프 등 4개 정보보호기업으로 꾸려진 컨소시엄은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 실시한 제로 트러스트 실증 사업에서 제로 트러스트 아키텍처를 구현했다.
이번 행사에선 제로 트러스트 실증 사업 결과를 공유하는 한편 제로 트러스트 아키텍처 구현에 있어 4개사 각각의 역할과 핵심 기술·솔루션을 소개했다. 또 이석준 가천대 교수가 제로 트러스트 이해를 돕기 위한 제로 트러스트 가이드라인 1.0에 대해 해설하고, 컨소시엄에 수요기관으로 참여한 NHN클라우드의 실증 사례도 소개해 도입을 고민하는 기업·기관에 실질적인 도움을 제공했다.
이날 최영철 SGA솔루션즈 대표는 키노트 스피커로 나서 실증 사업 결과에 대해 설명했다. 최 대표는 제로 트러스트 아키텍처가 단일 기업의 단일 솔루션으로 구현하기 어려운 만큼, 여러 정보보호기업 간 연동을 통해 실증을 성공적으로 마쳤다는 점을 강조했다.
최 대표는 “4개사 연동을 통해 제로 트러스트 아키텍처를 구현했다”면서 “아키텍처 구현 시 가장 어려운 통합과 연동체계 경험을 보유했다”고 말했다.
먼저 SGA솔루션즈는 제로 트러스트 아키텍처 모델의 전체 설계, 솔루션 연동 기획, 연동 및 스펙 정의, 실증 시나리오 도출 및 적용 방안 수립, 제로 트러스트 성숙도 모델 정의 등 실증 사업을 총괄했다. 기술적으론 사용자 통합 엔드 포인트 보안 솔루션(UEM)과 기업 자원에 대한 시스템 보안 기능을 제공하고 논리적 마이크로 세그멘테이션(초세분화) 환경을 구축했다.
SGN은 가장 핵심이 되는 정책결정지점(PDP) 기반 정책 연동과 사용자 및 디바이스 정보 매팅 연동을 개발했다. 지니언스는 제로 트러스트 네트워크 액세스(ZTNA)를 제공하고, 기존의 가상사설망(VPN)이나 보안소켓계층(SSL)-VPN 대신 안전한 네트워크 접근을 제공하는 ZTNA 정책시행지점(PEP)을 구축, 위치에 관계 없이 사용자의 안전한 접속을 가능하도록 했다. 소프트캠프는 원격 브라우저 격리(RemoteBrowserIsolation) 기술을 사용해 웹 애플리케이션 및 다운로드 데이터 암호복화 연동을 제공했다.
컨소시엄은 이를 바탕으로 사용자·디바이스·정책 시스템·엔터프라이즈 리소스까지 풀-스택 제로 트러스트 아키텍처를 실증했다. 구체적으로 업무망·내부망, 서버망·서버팜, 원격·재택 등 물리적 환경별 목표 보안 모델과 온프레미스, 클라우드, 재택 업무환경을 고려한 목표 보안 모델을 실증했다. 특히 제로 트러스트 클라우드 기반 서비스형 보안(SECaaS) 기반 비즈니스 모델로 확장성도 확인했다.
최 대표는 실증사업의 핵심 성과로 △정보보호기업 4개사 간 상호 연동 추진 △제로 트러스트 통합 모델 구축과 함께 △ZTNA와 ZTA 동시 구현 △성숙도 모델 정의 및 활용 등을 꼽았다.
최 대표는 “과기정통부의 제로 트러스트 가이드라인과 미국 국립표준기술원(NIST)의 'SP 800-207' 표준 구조에 최적화된 구성 모델을 실증했다”면서 “제로 트러스트 도입 전·후 정량적 기준 모델을 정의했다”고 강조했다.
그는 “성숙도 모델로 증명 가능한 제로 트러스트 아키텍처 프레임워크을 구축했다”고 덧붙였다.
조재학 기자 2jh@etnews.com