[서울=뉴스핌] 양태훈 기자 = "제로트러스트가 모든 것의 해답은 아니지만, 균일하게 보안 수준을 유지해 줄 수 있는 선택 가능한 최선의 노력이라고 할 수 있다. 최근 인증에 대한 신뢰 체계가 빠르게 무너지고 있는 가운데 대상과 접근에 대한 당위성 같은 것들을 지속적으로 물어보고 확인하고 해야 되는 일련의 체계가 필요해졌다. 그것이 바로 제로트러스트다."

이대효 지니언스 상무는 18일 포스코타워 역삼 이벤트홀에서 열린 '디지털 금융보안 세미나'에서 이 같이 강조했다.

제로트러스트는 기존 보안 시스템의 한계를 극복하기 위해 제시된 개념으로, 기업 내 모든 자원과 연결된 모든 장치, 사용자, 데이터 등에 대한 접근 권한 검증을 강화하는 보안 프레임워크(구조)를 의미한다. 지니언스는 2005년 1월에 설립한 소프트웨어 제조사로, 지난해 제로트러스트 솔루션인 '지니안 ZTNA'를 출시해 본격적인 시장 개척에 나선 바 있다.

이대효 지니언스 상무는 "과거 (네트워크에 대한) 공격은 보안 시스템을 고도의 기법으로 뚫고 들어와 뭔가를 가지고 나가는 형태였지만, 지금은 그렇지 않다. 자신이 원하는 기업에 있는 계정 정보를 정상적으로 구매하고 들어와 데이터를 가지고 나가는 등 보안 시스템이나 계정 보안과 같은 것만으로 사용자를 절대적으로 신뢰할 수 있을 것이냐에 대한 의구심이 큰 상황"이라며 "공격 도구도 역시 변화했는데, 최근 침해 사고의 70% 이상은 악성코드로 이뤄지지 않고 있다. 예를 들면 워드나 엑셀, 노트패드, 메모장과 같은 애플리케이션을 이용해 침해 사고가 일어난다. 결국 기존에 신뢰했던 인증에 대한 신뢰 체계가 빠르게 무너지고 있다는 것"이라고 제로트러스트의 중요성을 강조했다.

또 "그래서 어떤 트랜잭션이 일어나거나 특정 리소스에 접근을 해야 될 때 항상 그 접근에 대한 대상과 접근에 대한 당위성 같은 것들을 지속적으로 물어보고 확인하고 해야 되는 일련의 체계가 필요하고, 그것의 콘셉트가 바로 제로트러스트"라며 "제로트러스트는 2021년 5월 바이든 행정부가 미국의 국가 사이버 안보의 대응 역량을 강화하기 위한 행정명령을 발휘하는 과정에서 제로트러스트를 명시하면서 급물살을 타게 됐는데, 법령에 의해 2024년까지 연방 정부는 전부 다 저마다의 환경에 맞는 제로트러스트 환경으로의 전환을 진행을 해야 되는 상황"이라고 덧붙였다.

아울러 "이에 미국 국립 표준 기술원에서는 NIST 800-207이라는 제로트러스트 가이드라인을 마련했고, 문제 해결을 위한 성숙도 모델을 만들어 제로트러스트 전환 계획을 세우고 있다"며 "구글의 경우, 내부 보안 강화를 위해 제로트러스트 프로젝트를 진행한 이후 이를 비욘드코프 엔터프라이즈(BeyondCorp Enterprise)라는 제품으로 판매하고 있는데 마이크로소프트, 시스코 등 글로벌 기업들은 모두 미국 정부의 요구에 대응하기 위해 제로트러스트 솔루션을 시장에 내놓고 있다"고 전했다.

나아가 "우리나라도 2022년도 2월 과기정통부 산하에 제로트러스트 분과가 만들어졌고, 지난해 10월에 제로트러스트 포럼이 출범했다"며 "올해 상반기까지 활동을 하면서 실증 사업이라든가 국내환경에 적용할 수 있는 제로트러스트 가이드라인 같은 것들을 만드는 게 목표다. 제로트러스트가 모든 것의 해답은 아니지만, 현재 일어나는 IT 환경의 많은 변화들, 예컨대 클라우드로의 이전, 재택근무, 온프레이머스, 멀티 클라우드, 하이브리드 업무 환경과 같은 부분들에 있어 균일하게 보안 수준을 유지해 줄 수 있는 선택 가능한 최선의 노력이라고 이야기할 수는 있겠다"고 강조했다. 

dconnect@newspim.com