‘제로트러스트’ 마중물 떴지만…“급한 접근 지양, 장기간의 고민 필요”
한국형 ‘제로트러스트(Zerotrust)’ 구현을 위한 가이드라인이 나온 가운데 이제는 구체적인 도입 방안을 고민해야 할 시점이라는 의견이 제시됐다. 기업들은 보안 자산을 먼저 파악한 뒤 기존 보안 아키텍처의 다양한 요소를 고려한 도입 계획을 수립하라는 조언이다. 특히 특정 솔루션 도입에 집중하는 것만으로는 진정한 제로트러스트 구현이 어렵다는 지적이다.
최영준 한국인터넷진흥원(KISA) 미래정책연구실 정책대응팀장은 17일 “제로트러스트가 사이버 위협을 모두 제거하는 것으로 봐서는 안 된다”면서 “아직 사례가 부족한 상황이라 장기간의 고민이 필요하다”고 말했다.
앞서 7월 KISA는 과학기술정보통신부와 함께 ‘제로트러스트 가이드라인 1.0’을 내놨다. 제로트러스트는 “아무것도 신뢰하지 않고 언제나 검증한다(Never Trust, Always Verify)”는 원칙으로 내부와 외부를 가르던 기존의 ‘경계 중심’ 체계를 넘어 보안을 강화하는 개념이다.
경계 보안 체계에서 시스템에 접근하기만 하면 정상 사용자로 신뢰해 시스템이 뚫리는 현상이 대거 발생하면서 제로트러스트의 중요성은 더욱 커졌다. 하지만 관련 길잡이가 없고 명확한 개념이 정해지지 않아 확산은 지지부진했다.
이에 KISA와 과기정통부는 지난해 제로트러스트 포럼을 발족시키는 한편 1년 가까운 준비 기간을 거쳐 가이드라인을 발간했다. 가이드라인에는 제로트러스트의 핵심 원칙으로 ▲강화된 인증 ▲마이크로 세그멘테이션 ▲소프트웨어 정의 경계(SDP) 등의 내용이 들어갔다.
또한 도입을 위한 기업망 핵심 요소로는 ▲식별자와 신원 ▲기기 및 엔드포인트 ▲네트워크 ▲시스템 ▲애플리케이션 및 워크로드 ▲데이터 등 6가지를 제시했다. 이 밖에도 성숙도 진단이나 구축 예시 등을 넣어 이해를 도왔다
허나 제로트러스트 개념의 부상과 함께 오해도 발생하고 있다는 게 최 팀장의 말이다. 일부 업체의 과장된 제로트러스트 솔루션 홍보가 이뤄지는가 하면, 기업들 또한 모두 제로트러스트를 구현했다는 식의 ‘마케팅’ 수단으로 쓰이기도 한다는 것. 먼저 논의가 이뤄진 미국에서는 이미 이러한 문제의식이 널리 퍼진 상황.
최 팀장은 특정 솔루션에 집중하는 것은 현재로서는 바람직하지 않은 접근 방법이라고 짚었다. 당장 일부 솔루션을 걷어내고 교체하는 데 집중하지 말고 구체적인 로드맵부터 세우라는 조언이다.
그는 “민간 기업들은 (도입한 보안) 솔루션, 정책, 서비스가 수천가지”라며 “일률적인 솔루션을 강조하기 어려운 상황에서 참조 모델과 베스트 사례가 많이 나와야 할 것”이라고 밝혔다.
이어 “현재 쓰고 있는 레거시 시스템이 있다 보니 전환에 어려움이 존재하고 명확한 사례가 나오지 않은 상태”라며 “레거시 보안 기술을 일률적으로 제거하기보다는 부작용을 최소화하는 접근법이 필요하다”고 말했다.
당장 일부 솔루션을 걷어내고 교체하는 데 집중하지 말고 구체적인 로드맵부터 세우라는 조언이다. 미국 국방부 또한 높은 제로트러스트 구현을 위한 목표 기간을 10년으로 설정한 바 있다. 기관이나 기업의 목표 수준에 따라 다르겠지만, 고도화한 제로트러스트는 단기간에 달성하기 어렵다고 보는 것이 타당하다는 것이다. 조직 차원의 보안 의식 강화 노력 등 기업 문화의 전환도 필요하다.
현장의 어려움을 정부와 KISA도 인지하고 있다. 제로트러스트 가이드라인은 계속해서 개정될 예정이다. 실증 과정을 거쳐 이르면 내년 상반기 2.0 버전이 나온다. 실증은 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄이 각각 맡는다.
단 일각에서는 가이드라인 발간에도 불구, 정책 효과가 그리 크지 않을 거라는 예측도 있다. 강제성이 없는 문서라 알고 있으면서도 수행하지 않으면 결국 확산이 느려진다는 의견이 나온다. 또 도입을 독려하면서도 구체적인 유인책이 없는 점도 한계로 지적된다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network