[250517] 한국정보보호학회 칼럼 - 제로트러스트, 보안 기준은 신뢰 아닌 ‘검증’

디지털 대전환 시대, 보안 패러다임의 전환이 요구되다.

우리는 지금 인공지능, 클라우드, 사물인터넷 등 디지털 기술이 산업 전반에 빠르게 확산되는 디지털 대전환의 시대에 살고 있다. 이러한 기술들은 더 이상 특정 산업의 전유물이 아니며, 기업의 운영 방식은 물론 일상생활에도 큰 변화를 불러오고 있다. 과거에는 업무를 보조하는 도구에 불과했던 IT 기술이 이제는 업무 방식 그 자체로 자리잡고 있다.

하지만 이런 디지털 환경의 확대는 사이버 범죄자에게 새로운 공격 경로를 제공하고 있으며, 공격 기술 또한 더욱 정교해지고 있다. 2021년의 콜로니얼 파이프라인 랜섬웨어 공격, 2024년의 체인지 헬스케어 해킹 사례처럼, 사이버 공격은 이제 기업의 피해를 넘어 국가 안보와 사회 기반시설까지 위협하는 수준에 이르렀다.

 

이에 따라 기존의 경계형 보안 모델만으로는 이러한 복잡하고 지능적인 위협을 막기 어렵다는 문제가 제기되고 있다. 경계형 보안은 기업 내부를 안전한 영역으로 가정하고 외부 침입만 막는 구조였으나, 현재는 클라우드 사용, 재택근무, 다수 지사와 협력사 등으로 인해 네트워크의 경계 자체가 모호해지고 있다. 또한 내부자 계정 탈취나 피싱, 스미싱, USB를 통한 침투 사례처럼, 이미 기업 내부에 공격자가 존재할 수 있다는 가능성을 전제로 한 보안 전략이 요구되고 있다.

 

이러한 인식의 전환 속에서 등장한 개념이 바로 ‘제로트러스트 보안 전략(Zero Trust Architecture)’이다. 제로트러스트는 ‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’는 철학을 중심으로, 네트워크 내부든 외부든 모든 접근 요청을 검증하고, 최소 권한만을 부여하며, 지속적으로 모니터링하는 보안 전략이다.

 

제로트러스트는 단일 기술이 아니라, 보안에 대한 전략적 접근 방식을 의미한다. 즉, 망분리나 특정 솔루션의 유무로 제로트러스트 여부를 판단해서는 안 되며, 얼마나 철학에 기반해 접근 통제를 구현했는지가 관건이다.

미국은 2021년 바이든 대통령의 행정명령을 통해 제로트러스트 도입을 본격화했으며, 2024년 9월까지 연방정부 기관 전체에 이를 적용 완료했다. 한국도 과학기술정보통신부가 2023년부터 가이드라인을 마련하고 실증사업 및 컨설팅을 통해 민간 도입을 유도하고 있으며, 금융위원회 등도 주요 보안 모델로서 제로트러스트를 강조하고 있다.

기업은 현재의 보안 인프라를 점검하고, 보호 대상 자산을 중심으로 단계적인 제로트러스트 구현 전략을 수립해야 한다. 단번에 완성하려 하기보다, 제로트러스트의 기본 원칙(NIST SP 800-207 등)을 기반으로 성숙도 높은 기술을 우선순위에 따라 적용해나가는 접근이 필요하다.

 

정부 또한 민간의 도입을 유도하기 위한 산업별 지침, 실무 가이드, 인센티브 정책, 관련 기술 연구개발 지원 등을 추진할 수 있다. 일정 수준 이상의 제로트러스트 보안 체계를 구축한 기업에 대해서는 인증 간소화나 국가사업 가점 부여 등도 고려할 수 있다.

사이버 공간에서는 ‘신뢰’가 아닌 ‘검증’이 보안의 기준이 되어야 한다. 겉보기엔 평온해 보여도, 보이지 않는 네트워크 내부에서는 언제든지 위협이 발생할 수 있기 때문이다. 제로트러스트는 이제 선택이 아니라 필수이며, 기업과 정부가 함께 실천할 때 비로소 디지털 시대의 보안을 강화할 수 있을 것이다.

 

 

출처:  https://www.boannews.com/media/view.asp?idx=137246&page=2&mkind=1&kind=3  이석준 한국정보보호학회 제로트러스트연구회 위원장님