|
[이데일리 김가은 기자] 차세대 보안 패러다임으로 떠오른 ‘제로트러스트’ 체계 도입을 활성화하기 위해선 정책 개선과 호환성 문제를 해결해야 한다는 분석이 제기됐다. 과거 수준에 머물러 있는 법제도를 개선함과 동시에, 기존 보안 솔루션들과 문제없이 결합될 수 있는 표준화된 체계를 만들어야 한다는 지적이다.
제로트러스트는 특정 기술이나 솔루션이 아닌 일종의 보안 방법론이다. ‘차단’에 중점을 둔 경계형 보안 모델과는 달리, 지속적 모니터링과 반복적 인증, 최소한의 권한 부여 등을 통해 시스템 내부에 들어온 공격자 또는 이상행위자의 활동을 제한하는 점이 골자다.
30일 서울 강남구 한국콘퍼런스센터에서 열린 ‘제로트러스트 활성화를 위한 콘퍼런스’에서 정호준 한국정보보호산업협회(KISIA) 팀장은 국내 정보보안 수요기업 200곳과 솔루션 제조기업 50곳을 대상으로 진행한 ‘제로트러스트 실태조사’ 결과를 발표했다.
조사에 따르면 수요기업과 공급기업 모두 가장 큰 애로사항으로 경직된 인증체계와 국가·공공기관 도입에 대한 정책 부재를 꼽았다. 정부에 정보보호 제품을 공급할 시 필수적으로 획득해야 했던 공통평가기준(CC) 인증 등이 제로트러스트 보안 체계에 적합하지 않은 만큼, 이를 개선해야 한다는 의미다.
그는 “제로트러스트 보안 체계 도입을 위한 법제도 정비가 이뤄져야 한다”며 “국내의 다양한 환경에 적합한 세부적 가이드라인과 우수사례, 제로트러스트 구현 성숙도 등을 평가할 수 있는 구체적 기준 및 평가 방법론이 필요하다”고 강조했다.
특히 정 팀장은 보안 제품 간 호환성 문제를 해결해야 한다고 역설했다. 단일 솔루션으로 제로트러스트 보안체계를 구축할 수 없는 만큼, 여러 솔루션들이 문제없이 상호 연계될 수 있도록 애플리케이션 프로그래밍 인터페이스(API) 개방 등 표준화된 기술 체계를 확보해야 한다는 의미다.
|
이미 제로트러스트 보안 체계를 구축한 토스 운영사 비바리퍼블리카 또한 ‘연계성’을 강조했다. 정연우 비바리퍼블리카 보안 엔지니어는 “코로나19 팬데믹 이후 재택근무가 활성화되면서 원격근무 비중이 확ㄱ대, 제로트러스트 도입이 필요해졌다”며 “제로트러스트는 제품이 아닌 체계인 만큼, 이를 잘 구현하려면 신원 인증·네트워크 보안 등 굉장히 많은 기술이 필요하고, 각 영역을 연계해야 한다”고 설명했다.
조영철 한국제로트러스트위원회(KOZETA) 위원장은 “디지털 전환에 따라 사이버 보안의 중요성이 커지면서 제로트러스트 보안 체계 도입 필요성이 강조되고 있다”며 “정부와 공급기업, 수요기업들 간의 협력이 굉장히 중요하다”고 ㅇ역설했다.
정은수 과학기술정보통신부 정보보호산업과장은 “최근 사이버보안 위험요소가 다양한 형태로 지속 확대되고 있으나, 기업들의 보안 인식은 여전히 미흡하다”며 “기존 경계보안의 한계를 해소하기 위해 새로운 보안 패러다임인 제로트러스트가 요구되는 시점”이라고 말했다.
이어 “과기정통부는 보완 체계 전환을 위해 지난해 10월 제로트러스트 위원회를 발족했고, 가이드라인 1.0을 발표했으며, 국내 업무환경에서 실제 도입 경험을 축적할 수 있도록 시범사업도 지원 중”이라고 덧붙였다.