NSP통신

(서울=NSP통신) 박유니 기자 = “모바일, 사물인터넷(IoT), 클라우드 등의 확산으로 원격 재택근무 환경이 조성되고 코로나19로 비대면 사회가 가속화하면서 기업망 보호를 위한 전통적인 사이버 보안 체계의 변화 필요성이 커지고 있습니다”

가천대학교 컴퓨터공학부(스마트보안전공) 이석준 교수는 7일 오전 서울 강남구 노보텔엠베서더에서 열린 ‘금융정보시스템연구회 280회 조찬 세미나’에서 ‘제로 트러스트(Zero Trust) 가이드라인 1.0’을 주제로 한 강의를 통해 “최근 발생한 수많은 해킹, 랜섬웨어 공격 등의 사례를 통해 경계 기반 보안모델의 한계점이 드러나 단순한 보안 솔루션만으로는 완벽한 해결책을 제공하지 못하면서 제로 트러스트 개념이 등장했다”고 설명했다.

제로트러스트란 정보 시스템과 서비스에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고 주어진 권한을 정확하고 최소한으로 부여하는 데 있어 불확실성을 최소화하도록 설계된 개념과 아이디어 모음이다.

보안 위협이 언제 어디서든 발생 가능하다는 전제하에 요건을 갖추지 않은 사용자·기기는 자원(데이터, 컴퓨팅 서비스 등) 접근을 제어하며 기업·기관의 경계 기반 보안 체계 구축보다 ‘내부 데이터 보호’에 집중하는 새로운 보안 패러다임이라는 게 이 교수의 설명이다.

그는 “경계 기반 보안의 약점은 보안에 경계를 두는 것으로, 내부자에게 더 높은 신뢰를 부여한다. 그렇다보니 사이버 공격의 1차 목표는 내부 침투인 경우가 많다”면서 “신뢰라는 단어는 좋은 단어이지만 위험성을 내포하고 있지만 보안 관점에서는 악의적이지 않을 것이라는 기대감으로 인해 상대방의 행위에 취약해지는 단점이 있다”고 말했다.

이에 산·학·연·관 전문가들은 한국제로트러스트 포럼을 구성하고 국내외 기술 동향 분석, 토론회 등 전문가 의견을 모아 제로트러스트 가이드라인 1.0을 발간했다.

제로트러스트 1.0 가이드라인은 제로트러스트 추진 배경, 소개, 아키텍처, 도입, 참조 모델 등의 내용을 담고 있으며 제로트러스트 도입을 검토하고 있는 국내 정부·공공기관과 기업 관계자에게 실질적인 도움이 될 것으로 기대된다.

이 교수는 “제로트러스트 가이드라인 1.0은 제로트러스트라는 새로운 보안 개념을 국내에 도입하기 위한 첫 삽을 뜨는 과정”이라며 “가이드라인 1.0에 대한 의견 수렴, 실증사업 결과 반영 등을 통해 지속적인 업데이트가 이뤄질 예정이다. 아울러 특정 분야별 제로트러스트 도입 전략과 로드맵, 구현 참조 모델 등을 통해 더욱 구체화 된 2.0도 개발할 계획”이라고 말했다.

끝으로 이 교수는 제로트러스트가 신뢰를 배제하고 강력한 인증, 최소 권한, 컨텍스트에 따르는 동적 접근 제어 등을 통한 위험 최소화와 높은 보안성을 확보하려는 보안 철학이라고 강조했다.

높은 수준의 제로트러스트 철학을 기술적으로 도입·구입하는 것은 10년 이상의 오랜 시간이 걸릴 수 있지만, 기업 상황과 성숙도에 따르는 전략과 중간·최종 목표 설정이 필요하다는 설명도 덧붙였다.

그는 “제로트러스트는 전사적으로 도입되어야 할 보안 철학”이라며 “일부 원칙만을 강조하거나 특정 보안 기술·솔루션 도입을 통해 달생하는 것은 불가능하다”고 말했다.