[보안리더] 이석준 가천대 교수 "한국 특성 반영 K-제로트러스트 필요"
"글로벌 스탠더드에 부합하는 제로트러스트 전략을 따라가야하는 것도 맞다. 그러나 국가마다 정책, 주력 산업군, 환경이 다른 상황에서 우리 산업 도메인의 특성을 고려하지 않을 수 없다. 즉 전체적인 구조를 선직국의 글로벌 스탠더드를 따르되, 제로트러스트를 어떻게 도입할건지에 대한 부분은 특수성이 반영돼야 한다" 한국정보보호학회 제로트러스트연구회 위원장을 맡은 이석준 가천대 스마트보안학과 교수는 26일 지디넷코리아와 인터뷰에서 이같이 밝혔다. 그는 동적 정책 기반의 접근제어, 지속적인 모니터링, 가시성 확보, 인공지능(AI) 기반의 자동화나 통합 기법 도입, 중앙집중적 정책 결정 등 '보안 선진국'인 미국에서 설정한 제로트러스트 기본 구조를 따라야 한다고 제언했다. 다만 어떻게 제로트러스트를 도입할 건지, 즉 제로트러스트의 실제 적용 단계에서는 특수성을 고려해 'K-제로트러스트'가 마련돼야 한다는 것이다. "제로트러스트, '당연한' 보안 개념이지만 최근 접근법 논의 확산" '아무 것도 신뢰하지 않는다'는 것을 전제로 한 사이버 보안 모델이자 전략, 철학인 '제로트러스트(Zero Trust)'는 최근 사이버보안의 화두로 떠올랐다. 사용자 또는 기기에 접근할 때 모든 네트워크를 의심하고 검증하는 방식이다. 이 교수는 제로트러스트가 과거서부터 제기돼 왔던 보안의 기본이 되는 개념이라면서도, 최근에는 제로트러스트가 실제 도입되면서 그 의미가 확장됐고 새롭게 정립되어 가는 보안 철학이라고 정의했다. 그는 "쉽게 생각하면 신분증을 확인했어도 그 사람이 본인이 맞다고 100% 확신하지 않는다. 이 점을 보완하기 위해 CCTV도 설치한다. 또 건물에 진입했다고 가정했을 때 각 호실마다 잠금장치를 달아 놓는다"며 "이처럼 제로트러스트도 모든 것을 의심하고 끝까지 인증하고 확인할 수 있도록 한 '당연한' 보안 개념"이라고 설명했다. 이어 "그렇다면 왜 제로트러스트가 제대로 이행되고 있지 않았나를 생각해 보면, '완벽한 보안'은 한정된 예산 때문에 너무 많은 비용이 들 수 있다. 혹은 업무의 효율성을 현저히 떨어트리게 된다"며 "이런 이유 때문에 그 동안 우리는 경계 기반의 보안을 채택해서 사용을 했던 것"이라고 밝혔다. 이 교수는 "과거에는 네트워크나 인증 중심의 수준에 불과했던 제로트러스트라는 철학이 최근에 와서는 다시 정리하는 수준이 아니라 구체화하는 과정에서 부족한 부분을 판단하고 발전 방향, 아키텍처 구축을 위한 접근법 등 다양한 논의가 이뤄지고 있다"며 "모든 연결, 행위, 자산, 데이터 등을 지속적으로 검증하고 동적으로 신뢰를 부여하는 것, 내부 공격에 대해 시스템 운영을 지속할 수 있는 보안 아키텍처가 제로트러스트다. 단순히 네트워크와 같은 일부 요소에 적용하는 데 그치는 것이 아니라 최근에는 기업망 전반에 걸쳐서 정착하고 있는 보안 아키텍처이자 정책, 운영, 전략"이라고 강조했다. "한국, 제로트러스트 '도입 단계'…맞춤형 전략 필요" 법, 제도, 솔루션, 전략 등 보안과 관련된 모든 요소들이 제로트러스트 방법론으로 구현돼야 하는 얘기로 요약된다. 이 교수에게 한국의 제로트러스트가 얼마나 도입되고 있으며, 어느 수준까지 발전했는지를 물었다. 이 교수는 "제가 2022년에 제로트러스트에 대한 연구를 시작했을 때만 해도 관심을 보이는 정도에 그쳤다. 이에 일부 얼리어답터 수준의 기업들만 제로트러스트라는 키워드를 인지하고 유사한 전략을 수립하고 있는 정도였다"면서 "하지만 최근 2023년 제로트러스트 가이드라인 1.0이 나오고 지난해 두 번째 가이드라인이 발표됐다. 또 한국인터넷진흥원(KISA) 등 기관에서 실증사업이나 시범사업을 지속적으로 하고 있다"고 평가했다. 그는 한국의 제로트러스트가 논의되는 수준을 넘어 현재는 '도입하는 단계'라고 진단했다. 그는 "아직은 제로트러스트 도입을 망설이는 일부 기업이나 기관이 있는 것으로 보인다. 이에 제로트러스트에 선제적으로 구축하고 있는 기업이 선례를 남기고 있는 단계"라고 밝혔다. 준비 단계에서 제로트러스트 전환을 위한 로드맵 수립, 초기 실증에 들어간 단계라는 분석이다. 이 교수는 한국 제로트러스트 도입의 방향성으로 글로벌 스탠더드를 따라가되, 특수성을 고려해야 한다고 주문했다. 그 이유로 그는 "우리나라는 제조업 비중이 높아 산업 분야에서 공장, 자동차, 로봇 등 물리적 환경을 제어하는 시스템에 대한 중요성이 커지고 있다. 또 우리나라는 규제가 강한 국가로, 보안 체계가 강력하게 구축돼 있어 제도 변화의 유연성이 떨어지는 특징이 있다"며 "이에 국내의 제로트러스트 도입 전략은 우리나라의 특수성을 반영한 접근법이다. 미국 등 선진국과 차별화를 두는 것이 아니라 맞춤형 접근이 필요한 것"이라고 역설했다. "규제 중심 한국 문화 아쉬워…제로트러스트 전환 걸림돌" 이런 우리나라의 특징이 빠른 제로트러스트 도입에 방해가 되는 부분도 적지 않아 보인다. 이 교수는 "우리나라가 규제 중심으로 보안 체계를 구축해 온 큰 틀을 바꿔야 제로트러스트 도입에 속도가 붙을 수 있을 텐데, 규제 중심의 문화를 탈피하는 데 시간이 걸릴 것으로 예상 되는 만큼 아쉬운 부분이 있다"며 "또한 조직 차원에서 제로트러스트에 대한 드라이브를 걸 수 있는 환경이 마련돼야 하는데 아직까지 보안은 실무자의 영역에 갇혀 있다. 예를 들어 회사라면 CEO(최고경영자), 공공이라면 대통령서부터 제로트러스트 도입에 어떤 정책적 지원과 의사결정이 필요한지 고민해 적재적소에 투입을 해줘야 하는데 실무자에게 맡기는 문화가 여전하기 때문에 걱정스럽다"고 토로했다. 또한 "제로트러스트를 도입하는 수요처 입장에서 빨리 도입하기 위해 국제적으로 신뢰도가 높은 마이크로소프트나 팔로알토네트웍스 등 글로벌 기업에 손을 뻗게 된다. 이런 글로벌 기업들은 다양한 보안 솔루션이 통합돼 있고 중앙 집중적으로 정책을 결정화하고, 자동화할 수 있는 역량까지 갖추고 있다"며 "우리 보안 기업들은 기업 하나당 하나의 솔루션을 갖고 있는 구조이기 때문에 통합적인 정책 결정이 어렵고, 글로벌 대비 역량도 부족한 것이 사실이다. 빠르게 우리 보안 기업도 제로트러스트 역량을 끌어 올려야 한다"고 제언했다. 반면 한국이 가진 제로트러스트에 대한 강점도 분명이 있다. 이 교수는 "미국과 비교하면 미흡할 수밖에 없지만, 다른 국가와 비교하면 국가 주도의 제로트러스트 정책 전환 속도는 빠른 편이다"라며 "또 제로트러스트가 결국 OT, 즉 물리적인 환경에서도 구축이 돼야 할 텐데 우리나라는 제조업이 많고 OT 환경에 대한 다양한 자체 기술이나 경험을 갖추고 있는 점이 제로트러스트가 OT로까지 확장됐을 때 빛을 발할 것"이라고 강조했다. "제로트러스트 확산 위한 정부 의지 제고 필요하다" 끝으로 이 교수는 제로트러스트의 확산을 앞다기기 위해 필요한 사항으로 정부 차원의 정착 의지를 꼽았다. 이 교수는 "불과 10년 전과 현재를 비교해도 IT 환경이 완전히 달라졌다. 조그마한 기계에도 컴퓨팅 장치들이 들어가고, 클라우드, AI 등 새로운 환경이 생겨났는데 이 모든 것이 공격 포인트"라며 "이처럼 사이버 공간의 영역이 엄청나게 넓어지고 보완해야 할 사항이 많은데, 다른 분야처럼 예산이 올해 10% 인상했다고 보안 예산도 10%만 늘리는 식의 대처가 타당한지 의문이 남는다"고 말했다. 그는 "우리가 보호해야 할 대상을 이전보다 훨씬 많아졌는데, 정보보호 예산도 그만큼 늘어야 한다. 정보보호 분야만 더 대접해달라는 것이 아니라 정보보호 영영이 넓어지는 걸 충분히 고려해야 한다"며 "통상적인 예산 반영으로는 충분하지 않다는 인식을 전 부처와 대통령도 인식하는 것이 중요하다"고 강조했다. 또한 "민간에서는 민간 기업들이 협력할 수 있어야 한다. 정부의 의지가 반영돼서 민간 기업에도 제로트러스트에 대한 인식이 확산하는 것이 가장 적합하지만, 만약 정부의 움직임이 느리다면 민간 기업 간 협력이 중요해진다"며 "보안 사고 하나가 기업의 존망까지도 결정할 수 있다는 인식 아래 협력할 수 있는 체계를 구축해야 한다"고 밝혔다. "공식 회원 30~40명...넥스트 제로트러스트도 구상" 이 교수가 위원장을 맡고 있는 한국정보보호학회 제로트러스트연구회는 지난해 11월 이사회 통과를 거쳐 만들어졌다. 이번 달이 제로트러스트연구회의 '첫 돌'인 셈이다. 이 교수는 연구회의 지향점으로 '산·학·연·관이 모두 참여하는 플랫폼'을 꼽았다. 이 교수는 "연구회가 제로트러스트 플랫폼으로 기능하기 시작한다면 기술적인 연구를 통해 한국형 제로트러스트 모델의 국제 경쟁력 확보 방안을 만들어낼 수 있을 거라 생각한다"며 "또 AI 자동화 기반의 제로트러스트 운영 모델을 제시하는 '넥스트 제로트러스트'까지도 구상하고 있다"고 말했다. 현재 연구회는 30~40명의 공식 회원을 확보하고 있다. 이 교수는 연구회가 우리나라의 경쟁력을 끌어올리는 플랫폼으로 동작하기 위해 회원 수 확대 방안 등에 대해서도 고민하고 있다. 한편 이 교수는 서울대에서 컴퓨터공학 학사(94학번)와 석사를, KAIST에서 전산학 박사 학위를 받았다. 2000년부터 22년간 한국전자통신연구원(ETRI) 에서 책임연구원으로 근무하다 2022년부터 가천대학교에서 후학양성에 몰두하고 있다.
