한국형 제로트러스트 안내서 발간 임박…“우리나라 특성 반영”

한국형 제로트러스트 가이드라인 공개가 얼마 남지 않은 모습이다. 앞서 해외에서 정립된 제로트러스트 전략 표준을 바탕으로 우리나라 실정을 반영한 안내서가 곧 모습을 드러낸다. 신뢰의 위험성을 인지하고 내부까지 단속해 보안을 강화하는 제로트러스트가 뿌리내리는 데 도움이 될 전망이다.

최근 <바이라인네트워크>가 서울 강남구 한국과학기술회관에서 연 ‘클라우드 네이티브 시큐리티 & 제로트러스트 컨퍼런스 2023’에서 초청강연에 나선 이석준 가천대 컴퓨터공학부 교수는 “안내서와 요약서 형태로 발간할 예정”이라며 다음달 공개를 예고했다.

앞서 지난해 10월 과학기술정보통신부와 한국인터넷진흥원(KISA)은 제로트러스트 포럼을 발족한 바 있다. 포럼의 정책·제도분과장인 이석준 교수는 가이드라인 제정 작업 전반을 맡아 지원하고 있다. 당초 이달 말 안내서 공개가 예고돼 왔으나 준비 문제로 늦어진 것으로 보인다.

우리나라에도 제로트러스트 개념이 점차 확산하는 가운데 가이드라인은 제로트러스트가 정확히 어떤 것을 뜻하고 기업들이 어떤 보안 체계로 이를 구현해야 하는지 알려주는 지침 역할이다. 단 가이드라인이라는 표현이 지키지 않으면 제재를 받을 수 있다는 오해를 사는 어감이라 안내서 성격으로 발간한다는 게 이석준 교수의 설명이다.

이 교수는 “안내서를 비롯해 일반인 눈높이에 맞춘 요약서도 추가로 준비했다”며 “7월 초 발간 예정으로 많은 분이 참조하시기 좋을 것 같다”고 밝혔다.

그는 이날 강연에서 일반 생활에서처럼 내부자에게 신뢰를 주는 것이 보안 측면에서는 매우 위험한 접근이라고 강조했다. 가족을 믿는 것처럼 기업 보안에서도 내부자 신뢰가 전제로 자리한다. 최소 악의적이지는 않을 거란 믿음 때문이다. 하지만 해커 또한 이를 알기 때문에 신뢰 받은 내부자 계정을 탈취하거나 시스템 침투를 더욱 많이 시도한다는 게 이 교수의 설명이다.

이에 아무것도 믿지 않고 늘 검증한다는 제로트러스트의 필요성이 높아졌고 세계적으로도 이를 구현하기 위한 움직임이 가속화하고 있다. 앞서 미국 국립표준기술원(NIST)은 2020년 제로트러스트 아키텍처 표준(NIST 800-207)을 제시했다. 이전까지는 기업망 내부를 암묵적으로 신뢰할 수 있는 구역으로 봤다면 제로트러스트 도입 이후에는 이 또한 비신뢰 구역으로 설정하고 모든 접근을 점검하는 게 골자다. 네트워크가 이미 침투당했다는 가정 하에 최소 권한 부여 속 세션 단위로 접근하도록 해 불확실성을 최소화한다.

그는 미국의 제로트러스트와 우리나라 안에서의 제로트러스트 모두 개념적으로는 큰 차이가 없다고 강조했다. 미국의 표준을 토대로 안내서와 요약서가 나올 것을 시사하는 대목이다. 다만 이 교수는 상세 사례는 한국 환경에 맞춰 반영할 것이라고 언급했다.

안내서의 경우 정부와 지방자치단체, 기업 실무자를 위한 실제 적용 사례와 도입 절차 등이 담긴다. 요약서는 일반인부터 전문가까지 폭넓게 대상을 잡고 제로트러스트 개념을 쉽게 이해할 수 있도록 지원할 방침이다.

이 교수는 “늘어나는 사이버 공격이 단순히 기업에만 문제를 가져오는 것이 아니라 국가 안보나 인프라까지도 위협하기 때문에 어떻게 대응해야 할 것인가가 또 하나의 관전 포인트”라고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network