이석준 가천대 교수는 14일 서울 강남구 GS타워 아모리스홀에서 열린 ‘제로 트러스트 실증 사업 컨퍼런스’에서 “가이드라인 2.0은 1.0의 업데이트 개념이 아닌 도입 이슈 강화 버전으로 작업하고 있다”고 말했다.
지난해 발표한 제로 트러스트 가이드라인 1.0은 국내 정부·공공기관, 민간기업 관계자 등이 제로 트러스트 아키텍처 개념을 빠르고 쉽게 이해해, 향후 국내 정보통신 환경에 적합한 제로 트러스트 보안 체계를 도입할 수 있도록 지원하는 것을 목적으로 했다.
미국을 중심으로 논의돼 온 제로 트러스트 배경·기본 원리 등이 국가별로 다르지 않아 미국 국립표준기술원(NIST) 문서 등을 최대한 참고했으며 기본 철학을 유지했다. 여기에 국내 환경을 고려해 핵심요소에 ‘시스템’을 추가하고 도입 참조모델에도 원격근무 및 망분리를 담았다는 게 특징이다.
가이드라인이 발표되고 해가 바뀌었지만 여전히 제로 트러스트 관련 현안은 산적해 있다. 수요 측면에선 낮은 인식 수준과 레퍼런스 부족, 기사용 보안제품과 호환성 문제가 걸림돌로 작용한다.
이 교수는 “한국정보보호산업협회(KISA) 조사를 보면, 제로 트러스트 도입 시 필요 정책 중 하나로 ‘제로 트러스트 도입 관련 구체적인 방법 및 절차’를 꼽았다”면서 “또 안전성·기술 등 제로 트러스트 수준에 대한 평가에 어려움을 호소한다”고 전했다.
그는 “정보보호기업은 글로벌 기업이 선점한 특허를 침해하지 않는 범위에서 제로 트러스트 도입 및 보안을 향상하는 방안을 모색해야 하며, 국내외 표준화 추진과 대응도 필요하다”고 진단했다.
가이드라인 2.0의 목차(안)을 살펴보면 수요·공급기업이 겪는 애로사항을 해결해 제로 트러스트 보안 도입을 지원하겠다는 의도를 엿볼 수 있다. 목차는 △제로 트러스트 개요 △국내 제로 트러스트 산업 실태조사 결과 △국내 제로 트러스트 도입 참조 모델 △제로 트러스트 도입 검증 방안 △해외 제로 트러스트 도입 참조 모델 △제로 트러스트 관련 글로벌 특허 동향 등으로 구성될 예정이다.
이 교수는 “제로 트러스트라는 새로운보안 개념을 이해하고, 국내에 도입하기 위한 첫삽을 뜨는 과정에 있다”며 “가이드라인 2.0은 1.0에 대한 의견수렴, 실증사업 결과 등을 반영할 예정”이라고 밝혔다.
그는 “도입 참조 모델, 도입 검증 방안, 해외 도입참조 모델 등 수요기관이 도입 시 참조 할 수 있도록 구체화하겠다”고 덧붙였다.
제로 트러스트 도입 시 고려 사항에 대해서도 안내했다. 먼저 제로 트러스트는 신뢰를 배제하고, 강력한 인증, 최소 권한 부여, 컨텍스트에 따르는 동적 접근 제어 등을 통한 위험 최소화 및 높은 보안성을 확보하려는 보안 철학이라고 강조했다.
이 교수는 “높은 수준의 제로 트러스트 철학을 기술적으로 도입·구현하는 것은 10년 이상의 오랜 시간이 걸릴 수 있으며, 기업 상황과 성숙도 수준에 따르는 전략과 중간·최종 목표를 설정할 필요가 있다”면서 “제로 트러스트는 전사적으로 도입해야 할 보안 철학이며, 일부 원칙만을 강조하거나 특정 보안 기술·솔루션 도입을 통해 달성하는 것이 불가능하다”고 강조했다.
조재학 기자 2jh@etnews.com