[인터뷰] “안도 밖도 믿지 마라”…잇따르는 해킹 대란, 해법은 ‘제로트러스트’

[이데일리 권하영 기자] “예전에는 기업 보안이 단순했습니다. 직원과 자산이 한 건물 안에 있으니, 출입문만 잘 지키면 됐죠. 하지만 지금은 상황이 다릅니다. 내부에서도 실수나 위협이 발생하고, 외부에 있지만 신뢰해야 할 협력자도 존재합니다. 이제는 ‘안은 안전하고 밖은 위험하다’는 구분이 통하지 않습니다. 모두를 검증하고, 최소한만 신뢰하는 제로트러스트(Zero Trust) 보안 체계로 전환해야 할 때입니다.”

이대효 지니언스 상무가 최근 이데일리와의 인터뷰에서 발언하고 있다. (사진=권하영 기자)

통신사부터 카드사까지, 국민 생활과 맞닿은 대기업들이 연이어 해킹 공격에 무너지고 있다. 올해에만 SK텔레콤(017670)·KT(030200)·롯데카드 등 주요 기업들이 잇따라 보안 사고를 겪으며 고객 개인정보가 대량 유출됐다.

사이버 위협은 이제 생성형 인공지능(AI)의 등장으로 더 정교하고 빠르게 진화했다. 해커들은 AI를 이용해 피싱 메일, 악성 코드, 침투 시도를 자동화하고 있으며, 기업들은 그 어느 때보다 강력한 보안 체계와 내부 통제를 요구받고 있다.

이대효 지니언스(263860) 상무는 최근 경기 안양시 본사에서 진행된 이데일리 인터뷰에서 “최근 해킹 사고의 본질은 기술이 아니라 ‘제로트러스트’ 보안 체계의 부재에 있다”고 진단했다.

네트워크 보안 전문기업 지니언스에서 2009년부터 전략 수립을 맡아온 그는 현재 과학기술정보통신부 제로트러스트 분과위원으로 활동 중이다. 이 상무는 “기업 보안의 패러다임을 ‘모두를 신뢰하지 않고, 검증 후 접근시키는 구조’로 바꾸지 않으면 같은 사고가 반복될 것”이라고 경고했다.

잇따르는 해킹 사고…‘제로트러스트’ 해법 주목

제로트러스트란, 말 그대로 ‘아무 것도 신뢰하지 않는다’는 원칙 아래 내외부의 모든 접근을 검증하는 보안 체계를 말한다. 과거에 통용된 ‘경계선 보안’이 건물 입구만 지키는 보초라면, 제로트러스트 보안은 모든 방문자가 각 방에 들어갈 때마다 신분증을 확인하는 것과 같다.

그러나 국내에서 제로트러스트는 아직도 낯선 개념이다. 투자 한계와 인식 부족으로 여전히 경계성 보안에 머무르는 기업들이 많다. 해커들의 초소형 기지국 장비(펨토셀) 무단 접속을 허용해 이용자 소액결제 피해로 이어진 KT 사태나, 서버의 보안 취약점을 파고든 해킹으로 200기가바이트(GB) 분량 고객 신용정보가 유출된 롯데카드 사태 모두 결국 제로트러스트 보안 공백이 원인이라 할 수 있다.

이 상무는 “최근 해킹 사고들은 AI로 고도화된 사이버 위협 때문이라기보단 기본적으로 맹목적인 신뢰, 관리 미흡이 불러온 것이라 본다”며 “보안 규제 수준이 비교적 높은 분야에서도 사고가 났는데, 규제 수준이 상대적으로 낮은 기업들은 얼마든지 유사 사고가 발생할 수 있다”고 우려했다.

제로트러스트 보안의 핵심은 모든 방문을 걸어잠그는 것이고, 이를 위해 가장 중요한 것은 각 방 열쇠에 해당하는 ‘접근 권한(계정)’을 관리하는 것이다. 이 상무는 “보안 사고의 80~90%가 계정 관리를 못 해 일어난다”며 “이미 퇴사한 직원 등의 계정 정보가 다크웹 등으로 유출돼 침입 경로를 제공하고, 이를 파악하지 못한 기업은 쉽게 해킹을 당하게 된다”고 분석했다.

체크 리스트처럼 최소한의 규제만 충족하면 그만인 안일한 시각도 제로트러스트 보안에 악영향을 미친다고 이 상무는 지적했다. 그는 “규제 항목 준수에만 초점을 두고, 실제 기업에 맞는 철저한 보안 기준을 수립해 실행하는 과정에는 관심을 두지 않는 경우가 많다”며 “보안 사고는 아무리 노력해도 100% 예방할 수 없기 때문에, 사이버 회복탄력성(Resilience)을 염두에 둔 방어-탐지-대응-복구 체계를 완성해야 한다”고 말했다.

제로트러스트 보안의 출발점, ‘가시성 확보’…정부의 방향성과 민간의 기술력이 함께 가야

제로트러스트 보안의 첫걸음은 ‘가시성 확보’다. 코로나19 이후 원격근무 확산으로 기업의 정보기술(IT) 자산이 사무실 밖으로 퍼지면서, 어디서 발생할지 모르는 위협을 차단하려면 자산의 상태를 한눈에 파악할 수 있어야 한다.

그러나 이는 결코 쉬운 과제가 아니다. 이 상무는 “규모 있는 기업이라면 사용하는 보안 솔루션만 100여 개가 넘는다”며 “이들 솔루션을 유기적으로 연동하고 통합해야 제로트러스트 보안이 가능하지만, 국내는 아직 API(Application Programming Interface)나 글로벌 표준을 따르는 체계가 부족하다”고 지적했다.

이 상무는 이어 “정부가 명확한 방향성을 제시하고 마중물 역할을 해야 제로트러스트가 산업 전반으로 확산될 수 있다”며 “정부 예산을 투입해 시범·실증 사업을 통해 성공사례를 만들고, 참여 기업의 기술 개발에 필요한 자금 지원이 선순환되도록 해야 한다”고 강조했다. 과학기술정보통신부가 100억 원 규모로 추진 중인 ‘팀 시큐리티 코리아(Team Security Korea)’ 프로젝트가 대표적이다.

민간의 경쟁력 강화도 필수다. 네트워크 접근제어(NAC, Network Access Control) 분야 국내 1위 기업 지니언스는 기존 NAC 기능을 고도화한 ZTNA(Zero Trust Network Access) 솔루션 ‘지니안 ZTNA’로 글로벌 시장을 공략하고 있다. 이 솔루션은 원격·클라우드 등 다양한 네트워크 환경에서 연결 지점을 보호하며 지속적인 검증을 수행하는 차세대 보안 기술로, 현재 북미·중동 지역의 정부·국방·금융·철강·건설 등 10여 개 고객사를 확보했다.

지니언스는 지난해 기준 공공조달몰 나라장터에서 NAC 시장점유율 75%를 차지했으며, 매출 연평균 성장률(CAGR) 23.9%, 영업이익률 19.8%를 기록하며 안정적인 성장세를 보이고 있다. 이 상무는 “AI 시대에는 보안 위협이 더욱 지능화되는 만큼, 회사도 AI 고도화에 집중하고 있다”며 “복잡한 보안 체계를 AI가 요약·설명하거나 악성코드를 탐지·대응하는 등 다양한 AI 기술을 접목하고 있다”고 말했다.