“제로트러스트(ZeroTrust)는 단일 공급업체가 모든 기술을 제공할 수 있는 보안 모델이 아닙니다. 여러 기술 기업들의 협력이 필요합니다.”

지난 12월 4일, 한국제로트러스트위원회(이하 KOZETA)가 개최한 ‘제로트러스트 구축 전략 컨퍼런스‘에서 등장한 발언이다. 클라우드와 인공지능(AI) 등이 널리 확산됨에 따라 사이버 환경은 빠르게 변화하고 있다. 이에 글로벌 사이버 보안 시장이 제로트러스트로 빠르게 전환되고 있는데, 국내 기업들은 충분한 대비가 되어 있지 못한 상황이다. 그렇기에 하나의 ‘팀(Team)’이 되어 조직된 힘을 만들어 제로트러스트로 빠르게 전환하고 있는 글로벌 시장에서도 경쟁력을 갖춰야한다는 점이 강조됐다.

그리고 이러한 기조를 바탕으로 제로트러스트 분야의 경쟁력을 확보하기 위한 ‘제로트러스트 가이드라인 2.0’이 마침내 공개됐다. 지난해 7월 발표된 가이드라인 1.0은 제로트러스트에 대한 중요성을 널리 알리는데 중점을 뒀다면, 가이드라인 2.0은 제로트러스트 보안 모델의 도입과 적용을 희망하는 수요자 관점에서 구성됐다. 본 문건에서는 가이드라인 2.0의 핵심(제로트러스트 도입 절차, 핵심 요소, 성숙도 모델 등)을 도출해 보다 자세하게 알아보고자 한다.

01. 꾸준히 성장하는 제로트러스트 시장

모바일·사물인터넷(IoT) 기기, 클라우드 기반의 원격·재택 근무환경이 조성되고, 코로나 19로 인해 비대면 사회가 가속화됨에 따라 전통적으로 네트워크의 내·외부 경계를 구분하고 내부자에게 암묵적 신뢰를 부여하는 기존 경계 기반 보안(Perimeter Security) 모델은 한계에 도달하여 새로운 보안 모델로의 전환이 필요해졌다. 기존 경계 기반 보안 모델은 침입자가 내부자와 공모 또는 권한 탈취를 통해 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있어서 악의적 목적을 위해 데이터가 외부로 유출될 수 있기 때문이다.

이러한 상황에 대응하기 위해 해외 주요국들은 ‘제로트러스트(ZeroTrust)’ 보안 모델을 채택했다. 제로트러스트란 정보 시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, “절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)”는 새로운 보안 개념이다. 제로트러스트 보안 모델은 제로트러스트 보안 개념을 토대로 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 보고 각각 분리, 보호하며, 이를 통해 하나의 자원이 해킹됐다 하더라도 인근 자원은 보호할 수 있으며, 사용자 또는 기기 등의 모든 접속 요구에 대해 ID/PW 외에도 다양한 정보를 이용해 인증하는 방식으로 보안 수준을 높일 수 있다.

제로트러스트와 관련한 글로벌 보안시장은 향후 5년간 연평균 성장률(CAGR) 17.3%로 성장할 것으로 예상되고 있다. 또한 ’25년까지 기업, 기관의 60%는 제로트러스트를 보안 분야를 시작으로 내재화할 것으로 전망되는 등 중요성이 나날이 높아지고 있다.

제로트러스트에 대한 중요성이 부각됨에 따라 과학기술정보통신부(이하 과기정통부)는 지난 ‘22년 10월, 국내 산·학·연·관 전문가로 구성된 ‘제로트러스트 포럼’을 구성했다. 이후 글로벌 주요국의 동향 분석, 자료 검토, 토론회 등을 통해 의견을 모아 국내 환경에 적합한 ‘제로트러스트 가이드라인 1.0(이하 가이드라인 1.0)’을 ’23년 7월 발표했다.

사실 가이드라인 1.0이 발간된 시점에는 아직 제로트러스트에 대한 인식이 국내에 확산되지 못했다. 이에 해당 가이드라인에서는 기본 개념과 원리, 핵심 원칙 등을 바탕으로 한 도입 필요성을 강조했다. 가이드라인 1.0 이후 제로트러스트의 중요성을 인식한 기업 및 기관이 증가하자, 이를 실제로 어떻게 도입해야 하는지에 대한 니즈가 증가했다. 그리고 마침내 지난 12월 3일, 제로트러스트 보안 모델의 도입과 적용을 희망하는 수요자 관점에서 구성된 ‘제로트러스트 가이드라인 2.0(이하 가이드라인 2.0)’이 발표됐다.

02. 제로트러스트 가이드라인 2.0 발간 배경

1) 제로트러스트 체계 전환의 중요성

최근 다양한 디지털 신기술(클라우드, AI 등)의 등장으로 사이버 공격의 형태가 고도화, 은밀화되고 네트워크의 복잡성 및 관리 포인트가 급격히 증가하는 현 상황은 기업의 운영자와 보안 담당자에게 안전한 네트워크 운영을 위한 많은 고민과 숙제를 안겨주고 있다. 이에 등장한 제로트러스트는 각 네트워크 경계에 있는 진입점을 드나드는 패킷을 감시함으로써 공격 여부를 판단하기보다 리소스 보호에 중점을 두고 사용자 및 접속 기기가 어떤 형태로든 적극적으로 통제하는 개념으로 그동안 보안 분야의 문제를 해결할 수 있는 새로운 방향성을 제시하고 있다.

글로벌 주요국 중 미국이 제로트러스트 도입에 가장 적극적이며 글로벌 정책을 주도하고 있다. 지난 ’14년 美 인사관리처(Office of Personal Management, 이하 OPM)의 대규모 정보 유출 사고를 겪은 이후 연방정부의 보안 강화를 위한 제로트러스트 도입이 권고되기 시작했다. 이후 ‘20년, 美 국립표준기술연구소 (National Institute of Standards and Technology, 이하 NIST)의 SP 800-207 문서를 통해 제로트러스트 아키텍처가 최초로 정의됐고, 그 뒤로 실질적으로 제로트러스트를 도입 및 활용할 수 있는 가이드와 관련 문서들이 발간되어, 각 기관이 제로트러스트를 도입하는 관점에서 폭넓은 시야와 전략을 제공하고 있다.

제로트러스트 도입을 통한 보안 체계의 전환은 단지 미국에 국한되지 않는다. 물론 미국처럼 고도화되지는 않았으나, 영국, 일본, 싱가포르, 캐나다, 중국 등 글로벌 각국 정부 역시 제로트러스트 보안 체계 전환의 필요성을 공감하고 가이드와 전략 발표 등 다양한 정책적 움직임을 보이고 있다.

2) 왜 제로트러스트를 도입해야 하는가?

‘가이드라인 1.0’은 제로트러스트에 대한 개념을 정의하는 등의 상위 수준에서 기술할 수밖에 없는 태생적 한계가 존재했다. 국내에서 제로트러스트에 대한 개념이 널리 확산되기 전이기도 했으며, 조직마다 망 구조와 보안 아키텍처의 구성이 전부 다르고 실증 결과를 반영할 수 없었기 때문에 구체적인 도입 사례나 방법론을 담을 수 없었기 때문이다. 이에 제로트러스트를 조직에 실제로 도입하기 위한 의사 결정이나 구체적 계획을 수립하기 위해 도입 과정을 구체화하는 형태로의 가이드라인 구체화를 희망하는 요구가 꾸준히 존재해왔다.

이에 정부는 제로 트러스트 도입 과정을 보다 구체화하고 도입 수준을 분석할 수 있는 방안을 제시함으로써 각 조직들의 제로트러스트 아키텍처 도입을 가속화하는 데 도움을 주고자 ‘가이드라인 2.0’을 발간했다.
사실 제로트러스트의 도입을 시도하는 것 자체만으로도 필연적으로 시간과 인적 자원 그리고 비용을 수반한다. 조직의 리더는 보안 기술의 세부 사항 외에 경영 관점에서 도입 효과와 가치를 고려할 수 있으므로 기존 보안 아키텍처를 제로트러스트 아키텍처로 전환하는 이유에 대한 명확한 이해와 근거가 필요하다. 이에 가이드라인 2.0에서는 다음과 같이 제로트러스트 도입 필요성을 정리하여, 개별 조직에서의 제로트러스트 전환 시도를 증가시키고자 한다.

03. 제로트러스트 가이드라인 2.0 주요 변화

가이드라인 2.0은 1.0 대비 △제로트러스트 성숙도 모델 구체화 △제로트러스트 도입 절차 구체화 △제로트러스트 아키텍처를 도입한 조직이 기업망에 도입한 제로트러스트의 수준 혹은 효과성을 분석할 수 있는 방안과 같은 측면에서 강화됐다. 이외에도 제로트러스트 구현을 위한 세부내용이 변경 및 추가됐는데, 본 문건에서는 제로트러스트 가이드라인 2.0의 핵심만 뽑아 다뤄보고자 한다.

1) 제로트러스트 도입 절차

제로트러스트 도입 준비는 어떻게 해야 할까? 제로트러스트를 도입하려는 조직은 제로트러스트 성숙도 모델을 활용할 수 있다. 가이드라인에서는 제로트러스트 도입 절차를 준비→계획 →구현 →운영 →피드백 및 개선 5가지 세부 단계로 소개, 이 과정을 통해 제로트러스트 아키텍처를 운영하며 구성원에게 피드백 및 개선 요구를 통해 더 높은 수준의 성숙도 목표를 세우거나 차후 계획을 재검토할 수 있게 했다.

2) 제로트러스트 아키텍처 적용을 위한 핵심 요소

제로트러스트는 앞서 설명한 것처럼 적극적인 신뢰도 평가 없이 접근을 허용하지 않는 보안 모델 및 아이디어의 집합을 의미한다. 하지만 이러한 정의는 제로트러스트 아키텍처를 조직에 도입하기 위하여 목표 및 도입 전략 계획을 수립해야 하는 대상에게는 매우 추상적으로 느껴질 수 있다. 이에 가이드라인 2.0에서는 제로트러스트 아키텍처 적용을 위한 핵심 요소를 보다 상세하게 구분하여 설명했다. 특히 6가지 핵심 요소들에 대한 보안성과 신뢰도에 대한 판단을 강화하고, 적절하고 세밀한 접근제어가 이뤄지도록 2가지 교차 기능이 모든 핵심 요소에 걸쳐 이뤄져야 한다는 점이 강조됐다.

3) 제로트러스트 성숙도 모델

제로트러스트 보안 모델을 도입하고자 할 때 현재 수준을 진단·분석하거나 목표를 설정, 검증하는 데 활용할 수 있도록 기존 3단계에서 4단계로 구체화된 ‘성숙도 모델’이 가이드라인 2.0을 통해 제시됐다. 성숙도 모델은 제로트러스트 보안 전략을 조직에 맞게 단계적으로 구현하고, 그 성과를 측정하며 점진적으로 성숙도를 높이는데 중점을 둔 프레임워크이다. 이를 통해 조직은 보안 위협에 더욱 잘 대응할 수 있는 능력을 갖춰 효과적으로 대응할 수 있게 됐다. 그뿐만 아니라 해당 모델을 통해 제로트러스트 보안 전략의 구축 및 운영에 대한 체계적인 로드맵을 마련할 수 있으며, 이를 통해 지속적인 개선과 최적화가 가능해졌다.

가이드라인 2.0에서는 ’23년 4월 발표된 美 NIST의 성숙도 모델 2.0과 美 국가안보국(National Security Agency, 이하 NSA)가 ’23~’24년까지 핵심 요소별로 발표한 성숙도 개선 문서 등을 참고하여 성숙도 수준을 다음과 같이 4단계로 재정의했다. 특히 가이드라인 1.0과는 다르게 ‘초기 단계’ 단계를 추가하여 제로트러스트를 도입하는 기업들이 보다 점진적으로 성숙도를 달성하는 것을 목표로 삼았다. 여기서 중요한 점은 제로트러스트 성숙도 모델을 제로트러스트 아키텍처를 도입하는 데 있어 절대적인 답안지로 오해하여 모든 기능을 최적화 수준으로 달성하고자 할 필요는 없다는 점이다.

04. 제로트러스트 달성을 위한 솔루션은?

1) 제로트러스트 달성을 위한 세부역량과 기능

제로트러스트 도입을 위한 절차, 핵심요소, 교차 기능 마지막으로 성숙도 모델 등이 가이드라인 2.0을 통해 보다 상세하게 정의됐다. 이 같은 내용들은 제로트러스트 도입과 아키텍처 설계에 있어 매우 중요하지만, 개념적으로 정의된 형태인 만큼 제로트러스트를 조직에 실질적으로 도입하는 데 있어서는 보다 상세한 가이드가 필요하다. 제로트러스트의 각 영역과 단계에서 구체적으로 어떠한 기술을 도입하고 어떠한 절차를 마련해야 하는지에 대한 가이드가 부족하다면 조직 내 제로트러스트 구현이 체계적이고 일관되게 진행되지 못할 가능성이 크다. 이는 제로트러스트 모델을 성공적으로 구현하는데 필요한 시간과 자원을 과도하게 소모시킬 수 있다.
이에 가이드라인 2.0에서는 제로트러스트 성숙도 모델의 모호성과 추상성을 극복하고 보안 담당자들이 보다 명확하고 구체적인 지침을 따를 수 있도록 세부역량(Capability)과 기능을 제안했다. 가이드라인 1.0에서는 6가지 핵심요소와 2가지 교차기능이 어떠한 역할을 수행하는지에 대해서만 기술했다면, 가이드라인 2.0에서는 제로트러스트를 구현하기 위해 실질적으로 어떠한 보안 솔루션(역량)이 필요 한지에 대해 구체적으로 설명했다. 이는 단일 솔루션으로 제로트러스트 구현이 가능하다고 홍보되는 과대광고 역시 해소시켜 정보보호 담당자들이 제로 트러스트를 구현하는 데 큰 도움이 될 것이다.

2) 제로트러스트를 위한 국내 보안 기업의 협력

가이드라인 2.0 등장과 함께 한국제로트러스트위원회(이하 KOZETA)는 지난 4일, ‘제로트러스트 구축 전략 컨퍼런스’를 개최했다. 컨퍼런스의 기조연설에서는 “제로트러스트는 단일 공급업체에서 모든 기술을 공급할 수 없으며, 여러 기술기업이 협력해야 한다.”라는 점이 강조됐다. 한마디로 ‘팀(Team)’을 통해 조직된 힘을 만들어 제로트러스트로 빠르게 전환하고 있는 글로벌 시장에서도 경쟁력을 갖춰야한다는 것을 의미한다. 컨퍼런스에서는 6개 컨소시엄과 소프트캠프가 단독으로 수행한 제로트러스트 구축사업에 대한 설명이 진행됐으며, 앞으로는 이러한 협력이 보다 강화될 것을 시사했다.

05. 마무리

지난해 12월, 과기정통부와 KISA가 개최한 ‘제로트러스트 보안 모델 실증 성과공유회’에서 ’23년도 국내 정보보호 공시기업 200곳과 공급기업(보안 솔루션 기업) 50곳을 대상으로 진행한 국내 제로트러스트 관련 산업 실태조사에 따르면 수요기업 중 62.5%가 제로트러스트 용어를 ‘모른다’라고 답변했으며, ’31%는 ‘들어는 봤으나 자세히는 모른다‘라고 응답했다. 수요기업의 93.5%는 제로트러스트라는 개념을 제대로 모르고 있다는 것이며, 이는 제로트러스트가 보안 솔루션 공급기업에게서만 이야기되고 있는 것은 아닐까라는 우려를 불러일으켰다. 이는 보안을 바라보는 관점에서 제로트러스트 도입의 중요성을 강조하는 것도 중요하겠지만, 실제 현장에서 느낄 수 있는 의문, 예를 들어 제로트러스트를 ‘왜 도입해야 하는지’ 또는 ‘어떻게 도입할 수 있는지’에 대한 모범답안을 제시할 필요가 있다는 점을 일깨워 준 설문조사 결과였다.

1년 전만 하더라도 보안 담당자들로부터 외면 받던 제로트러스트는 더 이상 같은 취급을 받고 있지 않다. 사이버 위협 환경의 고도화와 클라우드와 인공지능(AI) 등 IT 환경의 변화로 인해 보안 담당자들의 인식이 변화했기 때문이다. 심지어 美 연방정부의 모든 기관들이 대규모 예산이 소요될 것임에도 불구하고 기존 보안 환경의 취약점과 한계를 인식하여 제로트러스트 아키텍처를 도입했다는 점이 널리 퍼짐에 따라 어느덧 제로트러스트는 사이버 보안 분야에서 달성하거나 고려해야 할 1순위로 부상했다.

이러한 배경으로 인해 가이드라인 1.0에서는 제로트러스트의 기본 개념과 원리, 핵심 원칙 등을 바탕으로 한 도입 필요성이 강조됐다. 여기서 더 나아가 이제는 국내에서도 제로트러스트에 대한 중요성과 필요성이 널리 확산됨에 따라 제로트러스트 아키텍처 구현을 위해서는 어떠한 절차를 밟아야 하고, 기술을 도입해야 하는지에 대한 니즈가 크게 증가했다. 이번 가이드라인 2.0을 통해 이러한 니즈가 해소될 것으로 예상되며, 이를 통해 국내 조직들이 보다 쉽게 제로트러스트를 도입할 수 있을 것이다.

06. 참고자료

1.철통 인증 지침(제로트러스트 가이드라인) 2.0 발표, 과학기술정보통신부:
https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=238&pageIndex=&bbsSeqNo=94&nttSeqNo=3185203&searchOpt=ALL&searchTxt
2.국내 보안업계, 제로트러스트 2.0과 NIST 기반으로 협업 분위기 조성, 보안뉴스:
https://www.boannews.com/media/view.asp?idx=134933&kind=&sub_kind
3.‘제로트러스트’ 도입?…국내기업 77% “글쎄”, 디지털투데이:
https://www.digitaltoday.co.kr/news/articleView.html?idxno=497890