SK쉴더스가 제시한 제로트러스트 도입 방법론, SKZT
제로트러스트 구현, 실질적 방법론 없어 국내 도입 지지부진
SK쉴더스, 3단계 도입 방법론 ‘SKZT’ 제시…”점진적 전환 중요”
보안업계에서 제로트러스트가 논의된 지 벌써 2년 가까이 지났지만, 여전히 국내에서는 제로트러스트 구현에 대한 의구심을 가진 이들이 많다. 실질적인 방법론이 부재하고, 도입 효과에 대해 의구심을 가지는 업체가 다수이기 때문이다.
이봉준 SK쉴더스 SI사업팀 수석은 지난 4일 서울 양재동 엘타워에서 열린 ‘클라우드 보안과 제로트러스트 컨퍼런스 2024’ 발표자로 나와 자사 제로트러스트 도입 방법론인 SKZT와 수행사례를 발표했다.
제로트러스트 도입 필요성에 대해 이 수석은 현 상황이 기존 모델로는 대응이 어렵고, 정보보안 영역에서의 패러다임 변화가 필요하다고 강조했다. 그는 “비즈니스 환경이 크게 변하기 시작했다”며, “디지털로 전환되고 점차 비대면으로 확산되고 있는 상황에서 언제 어디서든 누구나 각종 사이버 위협에 노출이 될 수 있는 상태다”라고 말했다. 또 “보안이 위협 받을 수 있는 환경이 넓어지고 단순한 수준을 넘어서 고도화되고 진보화 되고 있다”고 덧붙였다. 가트너에 따르면 전 세계 기업 63%가 제로트러스트 대안 도입을 위한 전략을 진행하고 있는 상황이기도 하다.
다만 한국 시장에서는 제로트러스트 도입 방법론 부재로 인해 전략 실행이 늦어지고 있는 상황이다. 이 수석은 “국내에서는 제로트러스트 도입이 많이 늦어지고 있다”며, “제로트러스트 도입을 해야 하는데, 어떻게 도입해야 하는지 모르겠다는 이유 때문이다”고 설명했다. 실제로 국내 기업 67%는 다양한 기술과 막대한 자원을 투입하려 해도, 어디서부터 시작해야 하는지 알 수 없다는 이유로 제로트러스트 구현을 늦추고 있는 상황이다. 실제 자원이나 기술력 부족으로 구현이 어렵다고 보는 비중도 16%나 된다.
SKZT 도입 방법론은 SK쉴더스가 제로트러스트 도입에 의문을 가진 업체들을 위해 구상한 서비스다. 이 수석은 해당 방법론에 대해 미국 국립표준기술연구원(NIST), 한국인터넷진흥원(KISA), 미국 국방부(DoD)에서 제시한 각종 로드맵이나 제로트러스트기반 보안 모델 등 국내외 가이드라인을 취합했다고 설명했다. 특히 KISA의 제로트러스트 가이드 라인을 흡수해 국내 고객사의 니즈를 충족하는 방향으로 구현했다고 강조했다. SK쉴더스가 기존 진행한 관제, 컨설팅 등 사업에서 파생된 다양한 방법론 등 회사의 노하우를 대거 투입하기도 했다.
SKZT는 성숙도 평가와 환경 구축, 운영 관리 세 가지로 나눠진다. 먼저 4단계로 평가되는 성숙소 평가다. SK쉴더스는 195개 항목의 체크리스트를 기반으로 사용자 신원, 디바이스, 엔드 포인트, 네트워크, 자동화면 통합까지 8개 측면에서 성숙도 평가를 진행한다. 여기에 거버넌스 역량까지 추가해 총 6개 핵심 요소와 3개 공통요소에서 성숙도를 평가한다. 이 수석은 “항목별로 성숙도 평가가 어떤 식으로 돼 있는지, AS-IS는 어떻게 돼 있고 TO-BE는 어떻게 바뀌어야 하는지를 정보 보안부터 인프라, 네트워크, 애플리케이션까지 모두 포함한다”고 설명했다. 마스터 플랜도 함께 진행한다.
또 “해당 기업이 제로트러스트 도입 준비가 되지 않았다면 어떤 부분을 먼저 고쳐야 하는지 보고 인프라, 네트워크, 데이터, 기타 등 어느 측면에서 제로트러스트를 시작할 수 있는지 본다”며, “제조냐 금융이냐 기업이냐 공공이냐에 따라 본인들이 가지고 있는 부분이 모두 역할이 다를 것이기 때문에 어디부터 제로트러스트를 도입해야 한다는 부분도 각각 다를 수밖에 없다”고 말했다.
환경 구축 경우, 어느 수준부터 제로트러스트를 진행하고 로드맵을 짜고 움직일 것인지 고객사 환경과 성숙도 평가 결과에 따라 결정된 마스터플랜을 따른다. 이 때 관리적 부분과 기술적 부분을 동시에 제시하는 것이 SKZT의 특징이다. 이 수석은 “현재 가지고 있는 솔루션이나 도입돼 있는 환경 내에서 제로트러스트를 준비할 수 있는 방법도 결과로 낸다”며, “실제 제로트러스트에서 필요하다고 하는 마이크로 세그멘테이션이나 소프트웨어정의경계(SDP), 사용자 인증 등 신기술 관련 영역에서 실제 필요한 솔루션은 어느 부분인지 관리와 기술 두 가지 모두 안내할 수 있다”고 설명했다.
또 운영 관리는 제로트러스트 환경 자체에 대한 운영 관리를 뜻한다. 이후 제로트러스트의 점진적 확대를 위해 다음 단계 진입 준비까지 더한다.
현재 SK쉴더스는 국민은행을 대상으로 클라우드 대상 제로트러스트화를 진행하고 있다. 3단계 사업으로, 1단계 종료를 앞두고 있다. 서비스, 애플리케이션을 한 번에 관리하고 제로트러스트화 하기 위한 작업이 1단계다. 2단계는 마이크로 세그멘테이션, 멀티 인증 등이 적용되고, 3단계는 국민은행 레거시 시스템까지 제로트러스트를 도입해 클라우드로 이관하는 것이 예정돼 있다. 공공기관의 스마트워크를 위한 5g 국가망 구축 사업도 SKZT 도입 사례다. SK쉴더스도 자체적으로 내부 평가를 진행하고, 도출 과제 12가지를 분석해 내년부터 제로 트러스트 전환 모델로 직접 들어갈 계획이다.
이 수석은 “SK쉴더스의 제일 자랑 중 하나가 관제다”며, “관제에서도 어디서도 볼 수 없는 수준의 데이터를 보유하고 있어 운영 관리 측면에서 도움을 줄 수 있다”고 강조했다. 솔루션 AI화에 대해서도 기대감을 내비쳤다. “분석 체계나 관제의 AI가 고도화되고 제품이 지속적으로 업그레이드 된다고 하면 제로트러스트에도 도움이 될 것이고, 그러한 솔루션도 곧 나올 것이라고 생각한다”고 말했다.
이날 이 수석은 제로트러스트화의 점진적 전환을 재차 강조했다. 그는 “제로트러스트 전환을 한꺼번에 할 수 없고 하고 싶어도 사실상 불가능하다”며 “제로트러스트화를 점진적으로 하기 위해서는 지속적으로 시범 운영하고 정상 운영하면서 계속 전환해 나가야 한다”고 설명했다. SK쉴더스 또한 성숙도 평가도 한 번에 끝나지 않고, 어느 정도 진행한 이후 재차 평가를 진행한다.
한편, SK쉴더스는 최근 구성된 제로트러스트 협의회인 ZETIA의 회원사다. 글로벌사 포함 제로트러스트 기술을 보유한 10개사가 합작했다. 아카마이, 시스코, 팔로알토 등 각 영역별 주요 솔루션 벤더들이 포함 돼 있다. 이 수석은 “제로트러스트 시장은 아직 시작되지 않았다고 본다”며 “실질적으로 진행이 되고 움직이기 시작했을 때 선도적인 역할을 수행하기 위해 제티아를 구성했다”고 연합 배경을 설명했다.
글. 바이라인네트워크
<성아인 기자> aing8@byline.network