제로트러스트(Zero Trust)란 무엇인가. 보안 패러다임의 전환

 

제로트러스트(Zero Trust) 개념

재택·원격 근무의 확산, 클라우드 사용의 증가 등 업무환경이 변화하고, 사이버공격이 진화함에 따라 기존 보안 모델은 한계에 도달하였으며, 새로운 보안 패러다임인 제로트러스트가 주목을 받고 있다. 미국은 2021년 5월 행정명령을 통해 연방정부의 제로트러스트 도입을 공식화하였으며, 우리 나라도 최근 국가적 차원의 제로트러스트 도입·확산 계획을 발표하였다.

 

보안 패러다임의 전환

 

코로나19로 인해 클라우드 기반의 재택·원격 근무가 확산되고, 사이버공격이 지능화·고도화됨에 따라 기존 경계기반 보안모델은 한계에 도달하게 되었다. 이러한 환경에 대응할 수 있는 새로운 보안 모델로 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’라는 표현으로 대표되는 제로 트러스트(Zero Trust)가 최근 주목을 받고 있다. 미국 등 세계 주요국의 정부와 기업들은 제로트러스트 기반의 보안 체계를 도입하고자 노력하고 있다.

 

우리 정부도 최근 국가적 차원의 제로트러스트 도입·확산 계획을 밝히고, 관련 가이드라인을 발표하였다. 그러나 현재 새로운 보안 패러다임을 확산하기 위한 실효성 있는 정책은 미흡한 상황이다. 제로트러스트의 개념과 국내외 도입현황을 살펴보고, 제로트러스트를 활성화하기 위한 향후 과제를 살펴보자.

 

300x250

 

제로트러스트의 개념 

과거의 전통적인 사이버보안 접근방식인 경계 기반 보안모델은 기업이나 조직의 네트워크 내,외부를 경계로 나누어서 그 경계면에 방화벽 등을 구축하여 외부에 존재하는 보안 위협으로부터 내부에 존재하는 조직의 데이터를 지킨다는 개념으로 지금까지 보안의 중심을 이루어 왔다. 

 

그런데 최근 IT 환경에 변화가 발생하였다. 데이터가 기업망 등에만 존재하는 것이 아니라 클라우드 상에도 존재할 수 있게 되었고, 직원들이 다양한 단말기를 이용하여 장소와 상관없이 기업망 등에 원격으로 접속하는 경우가 많아지게 되었다. 동시에 공격방식이 점차 정교해지고, 내부인에 의한 보안 사고도 점점 증가하는 추세다.

 

전통적인 보안모델로는 진화하는 사이버공격과 IT 환경의 변화에 대응할 수 없게 되자, 각국 정부 및 기업들은 제로트러스트에 주목하기 시작하였다. 제로트러스트는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하고, 기업망 등의 내외부에 언제나 공격자가 존재할 수 있으며, 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않고, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업 등의 정보 자산을 보호할 수 있는 보안 모델을 의미한다.

 

 

기존 경계기반 보안모델은 침입자가 내부자와 공모 또는 권한 탈취를 통해 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있어서 악의적 목적을 위해 데이터가 외부로 유출될 수 있다.

 

반면에 제로트러스트 보안모델은 서버, 컴퓨팅 서비스 및 데이터 등을 각각 분리·보호함으로써 하나의 자원이 해킹되었다고 하더라도 인근 자원은 보호할 수 있으며, 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디, 패스워드 외에도 다양한 정보를 이용해 인증하는 방식으로 보안 수준을 높일 수 있다.

 

 

제로트러스트 도입 현황

(1) 해외 제로트러스트 도입 현황

 

미국은 현재 정부 주도로 제로트러스트 보안전략을 강하게 추진하고 있다. 2014년과 2015년 두 차례의 미국 연방정부 인사 관리처(OPM, US Office of Personnel Management) 개인정보 유출사고 이후, 미국 하원 감독개혁위원회는 관련 보고서에서 이러한 해킹사고를 방지할 수 있는 제로트러스트 모델로의 전환 노력을 권고 하였다. 이후, 2021년 5월 행정명령을 통해 연방 정부의 제로트러스트 도입을 공식화하는 등 미국 정부는 적극적으로 관련 정책을 추진 중이다

 

한편, 영국은 2021년 7월 ‘제로트러스트 아키텍처 설계 원칙’을 발표하였으며, 일본은 2022 년 6월 ‘제로트러스트 아키텍처 적용 정책’을 발표하였다. 이처럼, 미국 등 주요국이 제로트러스트 구현을 위하여 국가 차원의 전략 및 대응 방안을 적극적으로 마련하고 있음을 고려할 때, 우리도 제로트러스트의 신속한 확산을 위해 국가적 역량을 집중할 필요가 있다.

 

 

(2) 국내 제로트러스트 도입 현황

 

2022년 10월 과학기술정보통신부는 제로트러스트 도입에 대해 논의하기 위해 국내 산,학,연,관 전문가로 구성된 ‘한국제로트러스트포럼’을 발족하였다. 2023년 4월에는 대통령 직속 디지털플 랫폼정부위원회와 함께 '디지털플랫폼정부 실현 계획'을 발표하면서 새로운 디지털환경에서의 정보보안을 위하여 국가적 차원의 제로트러스트 도입을 추진하겠다고 밝혔다.

 

2023년 7월 과학기술정보통신부·한국인터넷진 흥원과 한국제로트러스트포럼은 6가지 기본 원리와 3가지 핵심원칙 등을 제시한 「제로트러스트 가이드라인 1.0」을 발표하였다. 한편, 과학기술정보통신부는 제로트러스트 모델 발굴·확산을 위하여 2023년 6월부터 11월까지 2개 과제에 총 10억 원 규모의 실증 지원사업을 진행했고, 2024년도에는 60억 원의 예산을 배정하였다.

 

 

이러한 가이드라인의 제시나 실증 지원사업의 추진은 보안체계 전환을 유도할 수 있다는 점에서 긍정적인 것으로 보인다. 다만, 새로운 보안모델의 신속한 확산을 위해서는 보다 적극적이고 체계적인 정책적 지원이 필요한데, 이를 위한 법·제도적 기반과 전략 및 인식 등은 아직 미흡한 상황이므로 실효성 있는 대책 마련이 필요하다.

 

제로트러스트 활성화를 위한 과제

(1) 법률 근거 마련

 

제로트러스트의 확산을 위해서 법률에 명확한 근거를 마련하는 방안에 대한 논의가 필요하다. 최근 정부가 제로트러스트에 관한 가이드라인을 발표하였으나, 법률에 직접적인 근거를 규정하고 있지는 않다. 그런데 공공과 민간이 적극적으로 제로트러스트를 도입할 수 있도록 하기 위해서는 법적 기반이 뒤따라야 한다는 지적이 있다.

 

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」이나 「정보통신기반 보호법」을 개정하여 행정 영역이나 공적 영역 및 주요정보통신기반시설 등에는 제로트러스트 도입을 의무화하고, 그 외의 영역에서는 제로트러스트 인증제도를 도입해 인증을 획득한 정보통신 사업자 등에게 인센티브를 제공하는 방안을 고려할 수 있다는 의견이 있다.

 

 

반면, 제로트러스트가 구현되는 범위, 수준, 형태 등이 매우 다양할 것으로 예상되므로, 분야 및 기업의 특성에 맞게 도입할 수 있도록 자율성과 유연성을 최대한 보장해야하고, 정부가 인증이나 도입 의무화를 추진하는 것은 바람직하지 않다는 의견도 있다. 제로트러스트가 도입 초기인 점을 고려할 때 법적 근거 마련 여부, 제로트러스트 의무화 여부·범위 등과 관련하여서는 산업계 등 이해관계자와의 충분한 논의 및 의견수렴이 선행되어야 할 것으로 보인다.

 

(2) 홍보, 인식개선 및 기업 지원

 

첫째, 제로트러스트에 대한 적극적인 홍보와 인식제고가 필요하다. 현재 제로트러스트 활성화를 위한 가장 큰 걸림돌은 기업의 제로트러스트 인식 부족이다. 한국정보보호산업협회가 실시한 ‘국내 제로트러스트 관련 산업 실태조사’에 따르면 정보보호 솔루션 수요 기업의 62.5%가 제로트러스트라는 용어를 모른다고 응답했으며, 31.0%의 기업이 용어는 들어 봤으나 자세히 알지는 못한다고 응답하였다

 

 

현재 제로트러스트 도입과 관련한 정부 차원의 별도 홍보 및 인식개선 사업은 부재한데, 제로트러스트에 대한 기업의 인식수준이 낮은 상황임을 고려할 때 향후 제로트러스트의 개념과 도입 효과 등 에 대하여 적극적으로 홍보하고, 도입 절차·방법 등에 대한 정보를 제공할 필요가 있다. 또한 정부가 현재 추진 중인 실증 지원사업을 통해 우수사례를 발굴하고 이를 적극적으로 홍보할 필요가 있다.

 

둘째, 제로트러스트 도입 기업에 대한 실효성 있는 지원 방안을 마련할 필요가 있다. 제로트러스트 도입으로 보안을 강화할 수 있지만 시스템을 구축·유지하는데는 상당한 시간과 투자가 필요하다. 따라서 제로트러스트 도입에 자발적 참여를 유도하기 위해서는 구체적인 유인책이 필요하나, 현재 별도의 지원 제도가 없는 상황이다.

 

이와 관련하여 제로트러스트 도입 기업에 대하여 정보보호 및 개인정보보호 관리체계 인증 수수료 일부를 감면하거나 정보보호 공시제도에 제로트러스트 관련 사항을 포함하여 가점 등의 혜택 을 부여하는 방법으로 제로트러스트 도입의 활성화를 유도할 필요가 있다는 의견이 있다. 또한 중소기업 등 보안투자 여건이 열악한 기업에 대해서는 컨설팅 지원 사업을 추진할 필요도 있다.