제로트러스트? 63%가 모른다…"정보 부족"
등록 2023.12.11 14:00:00수정 2023.12.11 15:26:52
유진호 상명대학교 교수 과기부·KISA '제로트러스트 성과공유회서' 발표
국내 정보보호공시 대상 기업 200개 중 6.5%만 "제로트러스트 알고 있다"
'필요성 인식 제고' 시급…관련 인증제도 완화 등도 필요해
11일 서울 여의도 페어몬트호텔에서 열린 '제로트러스트 보안모델 실증 지원사업' 성과공유회에서 유진호 상명대학교 교수가 발표하고 있다(사진=송혜리 기자) *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = "국내 정보보호공시 대상 기업 200개 중 125개는 '제로트러스트'를 모릅니다. 이것이 어떤 가치를 주는 지 인식 제고가 필요한 시점입니다."
11일 서울 여의도 페어몬트호텔에서 열린 '제로트러스트 보안모델 실증 지원사업' 성과공유회에서 유진호 상명대학교 교수는 이같이 말했다.
과학기술정보통신부와 한국인터넷진흥원(KISA)가 개최한 이날 행사는 차세대 보안 모델인 '제로트러스트' 기술 동향을 공유하고 국내 확산 방안에 대해 모색하는 자리다.
이를 통해 유진호 교수는 지난 8월 23일부터 10월 6일까지 진행한 '국내 제로트러스트 관련 산업 실태 조사' 결과를 공개하고, 기존 '경계형 보안모델'을 뛰어넘는 제로트러스트 모델의 국내 확산을 위해선 인식 제고 우수 사례 발굴·확산 등이 시급하다고 제언했다.
62%이상이 "제로트러스트? 몰라요"
기존 전통적인 보안체계는 '입구만 잘 지키는' 형태다. 내부망과 외부망 사이에 '보초'를 세우고 접근권한이 확인된 사용자를 내부 시스템에 들어올 수 있도록 한다. '경계 기반 보안모델'이라고도 부른다. 경계 기반 보안 모델에선 침입자가 내부자와 공모하거나, 내부자 계정을 탈취할 경우 문제가 발생한다. 신원 확인과정만 통과하면 내부 서버·컴퓨팅 서비스·데이터 등에 추가 인증없이 접근할 수 있다. 해커 입장에선 '문만 열면 끝'인 셈이다.
반면, 제로트러스트 보안모델은 시스템 관문마다 문지기를 세운다. 서버, 컴퓨팅 서비스·데이터 등을 각각 분리·보호하기 때문에 특정 시스템이 뚫린다 해도 다른 시스템은 지킬 수 있다. 신원이 확인된 사용자라할 지라도 최소한의 접근권한만 부여하고, 다양한 추가인증 절차를 두기 때문에 내부자와의 공조도 쉽지 않다.
이 때문에 글로벌 시장에서는 이미 차세대 핵심 보안모델로 인정받고 있다. 미국, 유럽 등에서는 다양화·지능화되는 사이버위협에 대응할 수 있는 보완 수단으로 제로트러스트 보안 모델을 앞다퉈 도입하고 있다.
하지만 국내선 여전히 생소한 개념으로 받아들여 지고 있다.
유진호 교수에 따르면 국내 정보보호공시 대상 기업(수요기업) 200개 중 6.5%만이 제로트러스트란 용어에 대해 자세히 알고 있다고 답했다. 62.5%는 제로트러스트 개념에 대해 모른다고 답했으며, 31%는 들어봤지만 자세히 모른다고 응답했다.
아울러 2.5%만이 현재 제로트러스트를 적용하고 있다고 답했으며 77%는 도입할 계획이 없다고 답했다. 17.5%는 도입의사는 있지만 어떻게 해야 하는지 모른다고 답했고, 3.0%는 현재 적용하고 있지는 않지만 구체적인 도입 계획이 있다고 응답했다.
유 교수는 "수요기업 100개 기업 중 93.5개는 제로트러스트란 개념을 모른다는 것"이라며 "이 개념이 제품을 공급하려는 기업과, 보안 업계에서만 이야기 되고 있는 것이 아닌가 심각하게 고민할 필요가 있다"고 설명했다.
모른다는 것은 'N0 관심'…"인식 제고·우수사례 적극적으로 발굴해야"
유 교수는 "정보가 부족하다는 것은 다양한 의미를 내포하는 데, 실제 정보가 없을 수도 있지만, 별로 알고 싶지 않았기 때문일 수 도 있다"면서 "지금도 잘하고 있고, 사고가 나지 않는데 왜 추가적으로 투자를 해야 하는가 하는 문제 제기는 충분히 수요기관에서 가질 수 있다"고 말했다
그러면서 "따라서 지금 우리에게 필요한 제로트러스트 확산방식은 기존의 것들을 다 들어내고 이를 구현하는 것이 아닌, 현재 체계에서 추가적으로 보안 수준을 업그레이드 시킬 수 있는 형태이지 않을까 생각한다"고 말했다.
수요기업들은 제로트러스트 확산을 위해선 '필요성 인식 제고'가 시급하다고 꼽았다. 아울러 도입에 대한 구체적인 방법과 절차 안내, 관련 인증제도 완화 등이 필요하다고 응답했다.
유진호 교수는 "국내 제로트러스트 확산을 위한 당면과제는 인식 제고, 관련 보안모델 구축을 위한 제품간 호환성 확보가 필요하다"고 제언했다. 그러면서 "제로트러스트에 대한 전반적인 인식 제고를 위해선 관련 보안모델 도입의 우수사례 발굴·확산, 수요기업 보안담당자 대상 교육 강화, 공급기업의 컨설팅·솔루션 개발·서비스 개발을 한 교육 강화가 필요하다"고 설명했다.
유진호 교수는 '제로트러트스트는 빅뱅이 아닌 긴 여정'이라고 강조했다. 제로트러스트는 마치 우주 대폭발 빅뱅처럼 하루아침에 '전면 도입'되는 것이 아닌, 긴 호흡으로 장시간에 걸쳐 확산되는 보안기술이란 설명이다.
유 교수는 "제로트러스트 보안 모델은 이제 시작으로 정부, 산업계, 학계의 지속적인 관심과 노력이 중요하다"고 강조했다.
금융·통신 등 기업망서 실증한 선도사례 공개…클라우드·온프레미스 등 2종
해당 모델은 지난 7월 발표한 '제로트러스트 가이드라인 1.0'에서 제시한 내용을 통신·금융 등 국민 생활과 밀접한 분야 실제 기업망 환경에 적용·실증해 도출했다.
모델 2종은 ▲클라우드형과 ▲구축형(On-Premise) 등으로, 클라우드형은 서비스·서버·어플리케이션·데이터 등을 각각 논리적으로 분리해 보호했고, 정책시행지점(PEP)이 탑재된 제로트러스트 전용 라우터를 세계 최초로 개발·적용했다.
구축형은 접속 요구자의 보안 수준을 점수화해 접속단계에서부터 보안을 강화하고, 접속 중에라도 점수에 변경이 생기면 접속 차단 또는 접속 가능한 리소스를 제한할 수 있도록 하는 동적인증체계를 구현했다.
이와 더불어 과기정통부는 실증사업의 보안 효과성 검증을 위한 '침투시나리오·보안성 점검 체크리스트'를 개발·적용했다. 이를 통해 체계적인 제로트러스트 보안모델의 확산은 물론 제로트러스 보안성 검증체계를 발전시켜나갈 수 있는 기반을 마련했다.
과기정통부와 KISA는 제로트러스트 확산을 위한 예산 62억원을 신규로 확보한 상태이며, 가이드라인 차기 버전도 준비 중이다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
