정부가 다중계층보안(MLS)으로 국가 사이버 안보 체계를 전환하는 가운데 국내 사이버보안 기업의 제로 트러스트 보안 역량을 평가하는 방안을 검토하고 있다. 마케팅 용어로 전락한 제로 트러스트 보안의 옥석을 가려내는 동시에 연구·개발(R&D) 활성화를 유인한다는 복안이다.
13일 정보보호산업계에 따르면, 국가정보원과 관계기관이 함께 꾸린 민·관 합동 MLS 태스크포스(TF)는 국내 기업의 제로 트러스트 보안 역량을 평가하고 공개하는 방안을 논의하고 있다.
제로 트러스트는 '절대 믿지 말고, 계속 검증하라'(Never Trust, Always Verify)는 새로운 보안개념으로, 정부가 추진하는 신 보안 체계의 핵심 키다. 정부가 인공지능(AI)·클라우드 등 신기술 활용을 위해 망분리 정책 개선에 나섰지만, 가장 확실한 보안 조치로 통하는 망분리에 준하는 보안성을 담보하기 위해선 제로 트러스트 적용이 필요하기 때문이다.
국정원 산하 국가사이버안보센터 관계자는 지난달 11일 '사이버 서밋 코리아(CSK) 2024'에서 MLS 정책 방향을 발표하면서 “망 개방성이 확대되고 데이터 공개·공유가 활발해지면서 해킹 위험이 증가하는 것은 사실”이라며 “위험 증가에 대비해 제로 트러스트 등 새로운 보안 기술 수요가 분명히 발생할 것”이라고 말했다.
하지만 제로 트러스트가 차세대 보안 패러다임으로 각광받는 만큼 너도나도 제로 트러스트를 구현한다면서 마케팅 용어로 전락했다는 우려가 나온다. MLS TF가 국내 사이버 보안 기업의 제로 트러스트 구현 역량을 평가·공개하는 방안을 검토하는 이유다.
MLS TF는 미국 국립표준기술연구소(NIST) 사례를 참조할 것으로 보인다. NIST는 각종 시나리오를 설정하고 사이버보안기업별 제로 트러스트 보안 시연 결과를 공개한다. 제로 트러스트 구성요소마다 지원여부를 평가하고 알려주는 것이다. TF는 마이터어택(MITRE ATT&CK) 프레임워크로 평가하는 방안을 준비 중인 것으로 알려졌다.
MLS 가이드라인도 마무리 단계에 접어들었다. 가이드라인은 MLS 배경, 통제 항목, 8개 추진과제 해설 등 세 개의 챕터로 구성될 전망이다. 국정원은 MLS 전환을 위한 정보서비스 모델로 공공데이터의 외부 AI 융합, 인터넷 단말의 효율성 제고, 업무환경에서 생성형 AI 활용 등 8개를 선정하고 추진과제로 삼았다.
정보보호산업계 관계자는 “제로 트러스트 보안 모델을 제대로 구현하는지를 평가하고 구별하기가 쉽지 않아 시장에 혼란을 줄 수 있다”면서 “공인기관이 사이버보안기업의 제로 트러스트 보안 역량을 투명하게 공개해, R&D 투자를 유도하고 국내 사이버 보안 역량을 키울 필요가 있다”고 말했다.
조재학 기자 2jh@etnews.com
-
조재학 기자기사 더보기