국내 보안기업들 ‘제로트러스트’ 기대감에 합종연횡 활발…현실은?
우리나라 ‘제로트러스트(ZeroTrust)’ 안착을 위한 정부의 움직임이 속도를 내고 있다. 새로운 시범사업을 통해 제로트러스트 솔루션의 현장 적용을 지원한다. 보안기업들 또한 올해를 사업 확대의 원년으로 보는 모습이다.
하지만 시스템을 더욱 촘촘히 보호한다는 제로트러스트의 취지에도 불구하고 번거로운 과정으로 인식되는 점은 넘어야 할 산이다. 지난해 정부 가이드라인 발표에 기대를 걸었지만 생각보다는 확산 속도가 느리다는 게 업계의 전반적인 시각이다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 최근 45억원 규모의 ‘제로트러스트 보안모델 도입·운영 지원 사업’ 계획을 발표했다. 지난해 실증 사업을 펼친 데 이어 올해는 본격적인 모델 확산을 지원한다. 기업과 공공기관이 제로트러스트를 실제 업무 환경에 적용할 수 있도록 수요기업·기관을 솔루션 공급기업과 매칭하고 운영 예산을 지원한다.
제로트러스트는 ′아무것도 신뢰하지 않고 언제나 검증한다(Never Trust, Always Verify)′는 원칙의 보안 아키텍처다. 기존의 경계 기반 보안모델은 IT 시스템 입구만 통과하면 내부 서버나 데이터베이스 등의 해킹 위험이 도사리는 구조였다. 해커가 한 번 침투하기만 하면 내부자처럼 시스템 곳곳을 둘러볼 수 있어 촘촘한 보안 패러다임으로 보기에는 한계가 있었다. 이에 IT 자산 각각의 요소에서 인증을 따로 진행함으로써 시스템을 지키는 게 제로트러스트 구현 원칙의 바탕이다.
이처럼 제로트러스트는 사이버 위협에 맞설 차세대 모델로 꼽히지만, 우리나라에서 본격적으로 주목 받은 것은 지난해가 사실상 첫 기점이다. 과기정통부는 2023년 7월 한국형 제로트러스트 가이드라인을 공개하고 도입 방안과 적용 사례 등을 소개했다. 첫 실증 사업을 진행한 것도 지난해 하반기다.
이번 시범사업에 보안 기업들이 반색하는 것도 이 같은 배경 때문이다. 일단 사업을 통해 제로트러스트의 효과가 증명되면 향후 더 큰 사업 기회로도 이어질거란 기대다. 한 번 뿌리내리기만 하면 열풍이 번질 거란 기대감도 있다.
‘티프론트 ZT’ 제품을 출시한 파이오링크를 비롯해 지니언스, 프라이빗테크놀로지, SGA솔루션즈, 이글루코퍼레이션, 소프트캠프 등 제로트러스트 관련 기술을 보유한 기업들의 움직임이 활발하다. 특히 기업간 합종연횡은 최근 도드라지는 흐름이다. 관련 기술을 보유한 기업을 인수하는가 하면 전략적 제휴를 통해 시장을 공략한다.
지니언스는 최근 퓨처텍정보통신의 지분 100%를 취득했다. 보안소켓계층 가상사설망(SSL VPN) 전문 기업인 퓨처텍정보통신의 기술을 활용해 자사의 ZTNA(Zero Trust Network Access) 솔루션을 고도화하기로 했다. 지니언스 관계자는 “앞으로 성장할 제로트러스트 시장에 기대를 걸고 있다”며 퓨처텍정보통신과의 시너지를 예고했다.
프라이빗테크놀로지와 이글루코퍼레이션은 업무협약(MOU)을 맺고 제로트러스트에 특화한 관제·보안 대응 자동화 정책 지원 서비스를 개발하기로 했다. 프라이빗테크놀로지는 코어 기술과 상호 연결·제어 알고리즘, 이글루코퍼레이션은 보안 운영·분석 노하우를 제공하고 협력 체계를 구축한다는 계획이다.
지난해 실증 사업에 참여했던 SGA솔루션즈는 ‘SGA ZTA’를 선보이고 있다. 소프트캠프 또한 ‘실드게이트(SHIELDGate)’를 통해 시장을 겨냥한다. 이 밖에 스패로우, 안랩 등도 제로트러스트 시장 확산에 기대를 걸고 있다. 안랩은 제로트러스트 개념을 도입한 방화벽 제품 ‘트러스가드(TrusGuard)’에 이어 올 하반기 중 ZTNA 솔루션을 출시할 계획이다.
한국정보보호산업협회(KISIA)의 지원도 기업들이 기대를 거는 요소다. KISIA가 주도하는 한국제로트러스트위원회(KOZETA)의 활동이 활발하다. 지난해 실증 사업을 수행했던 프라이빗테크놀로지와 SGA솔루션즈도 KOZETA 회원사다.
지난해 3월 발족 당시 8곳이었던 KOZETA 회원사는 현재 50곳을 넘어섰다. 제로트러스트에 거는 보안업계의 기대감을 알 수 있는 대목이다. KISIA 관계자는 “기업 컨택포인트를 공유하고 회원사가 자유롭게 컨소시엄을 구축할 수 있는 환경 조성이 목표”라며 “상시적으로 실무협의회를 개최해 관련 정부 사업을 안내하고 연 1회 원활한 소통을 위한 컨퍼런스도 개최한다”고 밝혔다.
하지만 정부의 지원과 기업의 기대와 달리 아직 ‘군불 때기‘ 수준에 그친다는 분석도 있다. 아직도 현장의 이해도가 부족하다는 것이다. 지난해 정부가 제로트러스트의 개념을 전파한 만큼 올해 본격적인 성과로 이어지길 기대했지만, 시장의 반응은 크지 않다는 볼멘소리가 나온다.
한 보안 업계 관계자는 “지난해 정부 가이드라인 발간 이후에도 (관련 솔루션) 문의가 많이 들어오지는 않았다”며 “사실 회사 내부적으로는 장기적 관점으로 보고 있는 게 사실이다. 긴 호흡으로 봐야 할 것”이라고 말했다.
단 이 관계자의 말처럼 장기적으로는 필수적인 보안 패러다임이 될 것이라는 데는 업계의 의견이 일치한다. 인공지능(AI)를 필두로 한 새로운 사이버 위협이 늘어나고 해커들의 조직력도 더욱 강해지는 만큼 반드시 제로트러스트 도입이 필요하다는 의견이다.
김영랑 프라이빗테크놀로지 대표는 “클라우드 시대에 들어서며 시스템을 노리는 위협들도 굉장히 교묘해지고 있는 상황”이라며 “큰 피해를 입혀 금전적 이득을 취하는 일종의 ‘해킹 이코노미’가 만들어진 상태에서 기업은 (제로트러스트로) 막아내지 못하면 살아남을 수 없는 시대가 왔다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
