넷스코프 “제로 트러스트, 만능열쇠는 아니다”

By남혜현

제로 트러스트, 조직에 맞는 맞춤형 정책과 지속적 검증이 핵심
남인우 넷스코프 지사장, 사이버보안 컨퍼런스에서 실무자 위한 제로 트러스트 보안 전략 강조

“제로 트러스트, 이제는 남용되다시피 하는 유행어가 됐다. 하지만 진짜 보안은 화려한 기술이 아니라 조직에 맞는 ‘정책’에서 출발해야 한다.”

남인우 넷스코프 지사장은 최근 <바이라인네트워크>가 서울 양재동 엘타워에서 개최한 ‘사이버보안 기술 전략 컨퍼런스 2025’에 발표자로 참석, 현실적인 보안 전략과 제로 트러스트의 본질을 강조했다.

[무료 웨비나] 아이덴티티 보안 없는 보안 전략은 더 이상 안전할 수 없습니다

◎ 일시 : 2025년 7월 15일 (화) 14:00 ~ 15:30
◎ 장소 : https://bylineplus.com/archives/webinar/53537

자세히 보기

제로 트러스트라는 말은 “절대 신뢰하지 말라”는 뜻이다. 아무리 우리 회사가 보안을 겹겹이 신경 썼다고 하더라도, 안전을 100% 신뢰하지 말고 재차 검증해야 한다. 그러나 제로 트러스트라는 말 자체가 마치 유행어처럼 남발되면서, 본래의 의미가 희석되고 있다고 남 지사장은 지적했다.

남 지사장은 “제로 트러스트는 누구로부터, 무엇을, 어떻게 지킬 것인가에 따라 전혀 다른 전략과 솔루션이 필요하다”며 “옆 회사가 쓰는 솔루션이라고 해서 우리 회사에도 똑같이 맞는 건 아니다. 집집마다 보안 정책이 달라야 한다”고 강조했다. 실제로, 보안 정책의 본질은 ‘기술’이 아니라 ‘정책’(Policy)이며, 각 조직이 보호해야 할 대상과 환경에 맞춰 맞춤형 전략을 세워야 한다는 것이다.

‘사이버보안 기술 전략 컨퍼런스 2025’에서 발표하는 남인우 넷스코프 지사장

특히 남 지사장은 ‘제로 트러스트’ 솔루션을 도입하는 과정에서 이상과 현실의 간극이 발생하는 점을 솔직하게 밝혔다.

설계 단계에서는 ‘이상적인 구조’를 꿈꾸지만, 실제 적용 과정에서는 성능 저하, 운영상의 불편, 사용자 경험 등과 맞물려 필연적으로 타협이 반복됩니다. 그래서 끝까지 잃지 말아야 하는 것은 ‘왜 제로 트러스트를 도입하려 했는지’에 대한 근본적 질문입니다. 목적이 흐려지면 솔루션에 휘둘릴 뿐, 진정한 의미의 제로 트러스트는 실현하기 어렵습니다.”

보안 솔루션 도입 초기에는 열정적으로 기획하지만, 시간이 지나면 현장에서는 관리와 생산성, 편의성을 이유로 초기 의도와 다른 방식으로 변질되는 경우가 많다. 남 지사장은 “그래서 현업 실무자일수록 ‘내가 왜 이 전략을 택했는지’ 원칙을 끝까지 지켜야 한다”고 강조했다.

이날 남 지사장은 넷스코프가 제공하는 보안 솔루션의 구체적 구조와 전략도 상세히 소개하면서, 자사가 ‘보안 액세스 서비스 엣지(SASE, Security Access Service Edge)’와 ‘제로 트러스트 네트워크 액세스(ZTNA, Zero Trust Network Access)’를 결합, 각 조직의 보안 요구에 맞춘 다단계 제로 트러스트 구현한다고 설명했다.

이런 것이 어떻게 구현될까? 예를 들어, 사용자 신원(아이덴티티) 검증의 경우 단순히 2단계 인증을 하는 것을 넘어 아이덴티티 프로바이더와 연동하는 다중 절차로 신뢰도를 확보한다. 또, 회사가 관리하는 기기와 재택근무 등에서 쓰는 BYOD(Bring Your Own Device) 등 상황별로 디바이스 별로 접속 권한과 정책을 달리 적용하며, ‘디바이스 포스처(무결성)’ 평가를 진행한다. ‘사용자 행동 기반 정책(UBA)’을 도입, 각 사용자에게 신뢰 점수를 부여하고 위험한 행동이 반복될 경우 점수를 깎거나 자동 경고·차단·교육 메시지를 띄우기도 한다. 대용량 파일을 자주 올리거나, 비정상적 로그인이 감지될 때 자동으로 보안 정책을 강화하는 식이다.

그는 “넷스코프의 제로 트러스트 전략은 사용자와 단말기, 위치, 애플리케이션, 그리고 행위와 데이터까지 각각의 신뢰 단계를 세밀하게 구분하고, 이를 유기적으로 연동한다”며, “이 각각의 단계가 실제로 조직별 정책과 맞닿아 동작하도록 설계됐다”고 설명했다.

최근 악성코드, 랜섬웨어, 장기 침투 등 보안 위협이 고도화됨에 따라, 단순 차단이나 방화벽만으로는 한계가 명확하다는 점도 짚었다. 남 지사장은 “이제는 사용자의 ‘부지불식간의 행동’까지도 자동으로 모니터링하고, 필요한 순간에는 경고와 가이드, 심지어 ‘사유 입력’ 등 단계별 통제와 교육이 함께 이뤄져야 한다”고 말했다.

특히 클라우드 시대에는 수많은 SaaS와 웹 서비스가 업무 환경에 유입되면서, 이른바 ‘쉐도우 IT(관리 사각지대)’ 문제가 커지고 있다고 강조했다. 남 이사는 “기존 DLP(데이터 유출 방지) 솔루션만으로 모든 보안 문제가 해결될 거라는 착각은 위험하다. 인터넷과 클라우드, 각종 앱의 데이터 이동 경로와 저장 위치, 실시간·비실시간 동작 등을 구분해, 다중의 방어선을 세워야 한다”고 말했다.

넷스코프가 머신러닝·AI 기법도 적극 도입하고 있지만, 이를 맹신하지 말라는 지적도 했다. 남 이사는 “아직 AI가 ‘진짜 위협’과 ‘오탐’을 완전히 구분해 주는 만능 해결사는 아니다”라며 “전통적인 탐지 방식과 최신 AI 방식을 조합해, 실무 상황에 맞는 최적화가 중요하다”고 현실적으로 조언했다.

그는 “제로 트러스트는 절대 완성된 ‘제품’이 아니다. 각 조직의 보안 목표와 환경에 따라, 정책과 기술을 유기적으로 결합하는 게 무엇보다 중요하다”라면서 “초심을 잃지 않는 지속적 검증, 그리고 변화하는 환경에 유연하게 대응하는 ‘맞춤형 전략’이야말로 진정한 보안의 핵심”이라고 강조했다.

글. 바이라인네트워크
<남혜현 기자> smilla@byline.network

남혜현

스타트업을 취재합니다. 딥테크 환영합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.