'K-제로트러스트 보안' 첫발…"중소기업 '지속 지원' 필요"

정부, 첫번째 '제로 트러스트 가이드라인' 공개
업계 "영세 기업 대상 보안 지원 확대" 목소리

경계 보안과 제로 트러스트 보안 모델 비교 (과학기술정보통신부 제공)

#1. 60대 여성 김말순씨(가명)는 늦은 오후 퇴근 후 귀가한 40대 아들 고길동 씨(가명)를 반갑게 맞았다. 하지만 고 씨가 옷을 갈아입으러 안방을 다녀오자, 김 씨는 아들이 맞는지 다시 확인했다. 또 고 씨가 화장실을 다녀온 뒤 "우리 길동이 맞니?"라고 물었다.

(서울=뉴스1) 오현주 기자 = 정부가 최근 발표한 '제로(0) 트러스트 보안' 모델을 비유한 상황이다. '절대 누구도 믿지 말고 계속 검증'하는 방식의 보안 개념이다. 업계에서는 중소기업도 제로 트러스트 보안을 도입하도록 정부가 계속 지원해야 한다고 본다.

11일 과학기술정보통신부에 따르면 이달 10일 과기정통부·한국인터넷진흥원(KISA) 홈페이지에서 '제로 트러스트 가이드라인 1.0'이 공개됐다.

'제로 트러스트' 보안은 기존의 경계 보안과 다르다. 타인으로부터 정보 시스템에 접속 요구가 있다면 이미 정보가 침해된 것으로 보고 계속 인증을 요구한다.

신종 코로나바이러스 감염증(코로나19) 사태와 우크라이나 전쟁을 통해 여러 사이버 위협이 증가하면서 주목받았다.

서버, 컴퓨팅 서비스, 데이터 등 모든 자원을 각각 분리해 보호하기 때문에 하나의 데이터가 해킹돼도 다른 자원을 보호할 수 있다.

정부는 가이드라인에서 △강화된 인증(아이디·비밀번호 외에도 다양한 인증정보를 활용한 다중 인증) △마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 작은 단위 분리) △소프트웨어(SW) 중심 경계(SW 기반으로 보호 대상을 분리·보호할 수 있는 경계)를 포함한 세 가지를 제시했다.

제로 트러스트 보안은 전 세계적으로 걸음마 단계다. 미국에서도 논의가 본격화된 지 2년밖에 되지 않았다.

조 바이든 미국 대통령은 2021년 5월 '제로트러스트 아키텍처 구현' 중심의 행정명령을 내렸다. 2020년 네트워크(NW) 관리 솔루션 제공 기업 솔라윈즈의 해킹 여파였다.

북한 해킹 공격 ⓒ News1 DB

정보기술(IT) 업계는 북한발 공격에 항상 노출된 국내에서 이같은 보안 모델이 자리 잡기 위해 중소기업 대상 실증사업이 확산돼야 한다고 본다.

보안 인력이 부족한 중소기업이 가이드라인에 착안해 제로 트러스트 보안을 구축하기 쉽지 않기 때문이다.

기존 경계형 보안 모델에서 탈피할 경우 별도 적용해야 할 시스템과 전문 인력이 필요하다.

현재 정부는 국내 기업으로 구성된 컨소시엄(SGA 솔루션·SGN·지니언스·소프트캠프)와 수요기업(NHN클라우드·넷마블·부동산114·예스티 등)을 중심으로 실증 사업을 진행할 예정이다.

업계는 이런 기회가 국내 스타트업에도 순차적으로 제공돼야 한다는 입장이다.

과학기술정보통신부 관계자는 "현재 실증 사업을 여러 분야로 나눠 적용하려고 생각"이라며 "중소기업 지원 사업과도 연계해 지원을 이어가겠다"고 말했다.

일각에서는 국내 '제로 트러스트 보안'이 활성화되면 저평가된 국내 보안시장이 성장할 기회가 될 것이라고 본다. 다만, 이 기회를 제대로 잡기 위해 서비스형 소프트웨어(SaaS) 기반 보안 솔루션 개발부터 집중해야 한다는 지적이 나온다.

SaaS 솔루션은 클라우드(가상 서버)에 SW를 얹는 방식이다. 기존 온프레미스(직접 구축) 형태와 다르다. 전 세계 시장이 클라우드 도입에 적극적인 만큼, 해외 수출에 유리하다.

보안업계 관계자는 "아직 대부분의 국내 기업은 '온프레미스' 형태를 선호하지만, 글로벌 보안 트렌드는 'SaaS'"라며 "정부의 제로 트러스트 보안 본격화에 발맞춰 이같은 SaaS 솔루션 개발에 집중해야 한다"고 말했다.

woobi123@news1.kr