최영선 정보보호산업 과장 "제로트러스트 민간에 확산"
"올해 민간의 제로트러스트 보안 모델 확산을 위해 수요, 공급 기업 매칭형 시범사업 6개 과제를 시행하겠습니다. 또 8개 기업의 컨설팅을 지원하겠습니다." 최영선 과기정통부 정보보호산업과장은 20일 디지털데일리가 전국은행연합회 은행회관 국제회의실 2층에서 '디지털신뢰 새 패러다임, 제로트러스트 적용 전략'을 주제로 개최한 컨퍼런스에서 연사로 나와 이 같이 밝혔다. 제로트러스트는 누구나 보안을 위협할 수 있다는 컨셉으로 기존 외부망에 이어 내부망 접근도 엄격히 제한하는 보안 분야 새 조류다. 즉, 기업 내부망도 비 신뢰 구역으로 보고 보안을 강화하는 것이다. 원조는 미국이다. 미국은 2020년 8월 제로트러스트 아키텍처를 만든데 이어 2021년 5월에는 국가 사이버보안 개선을 위한 대통령 행정명령이 나왔다. 한달 뒤인 2021년 6월에는 제로트러스트 성숙도 모델 버전1(CISA ZTMM v 1.0)을 발표했고, 2022년 6월 민간 업체와 협력을 통한 제로트러스트 아키텍처를 구현했다. 2023년 4월에는 제로트러스트 성숙도 모델 버전2를 발표했고, 같은 해 9월에는 클라우드 네이티브를 위한 제로트러스트아키텍처(ZTA)도 공개했다. 2024년 7월에는 제로트러스트 로드맵 및 가이드 발간과 함께 국가안보국(NSA)이 제로트러스트 보안 모델을 수용, 보급 확산의 전기를 마련했다. 최 과장은 제로트러스트 정의에 대해 "해커가 네트워크 내·외부 어디든 존재할 수 있고, 모든 접속 요구는 신뢰할 수 없다는 가정하에 보호해야 할 모든 데이터와 컴퓨팅 서비스를 각 자원(리소스)으로 분리·보호하는 보안 전략"이라고 소개했다. 이어 왜 제로트러스트인가? 물으며 "비대면, 원격접속 같은 디지털 기반 새로운 환경이 등장하면서 새로운 보안 위협이 확산, 기존 경계기반 보안 모델이 한계에 봉착했기 때문"이라고 짚었다. 최 과장에 따르면 현재는 보안을 위해 방화벽, IDS/IPS, VPN 같은 복잡한 네트워크 솔루션들을 써야하는데 앞으로는 각각의 자원 분리, 보호를 통해 네트워크 혹은 물리적 위치, 기기에 상관없이 '무신뢰'가 원칙이라고 설명했다. 미국은 제로트러스트 정책을 내놓기 전 여러 대형 보안 사고를 겪었다. 2014년 인사관리처의 개인정보 유출 사고가 발생, 2천만 명 이상 공무원과 가족, 다른 여러 개인의 인사 정보들이 유출, 당시 하원이 이를 2년정도 조사했다. 최 과장은 "우리 같으면 몇 개월안에 조사 보고서가 나왔을텐데 미국은 2년이나 조사해 보고서를 2016년에 냈다"고 들려줬다. 또 지난 2022년에는 랩서스(LAPSUS$)가 글로벌 대기업 IT관리자 계정을 탈취해 대규모 피해가 발생했는데 "정보기술(IT) 관리자 등 내부인이라도 광범위한 접근 권한을 주는 게 아니라 이를 최소화하는데 최근 보안 정책 추세"라고 진단했다. 2022년 랩서스 해킹에 이어 작년 3월에는 공급망 취약점을 노린 APT 그룹의 정교한 공격 사례가 발견됐는데, 이는 오픈소스 압축 유틸리티 'XZ 유틸스(XZ Utils)'의 유지 관리자가 백도어를 포함한 악성 버전을 배포한 사건이다. 최 과장은 "제로트러스트 체제로의 신속한 전환 및 확산을 위한 정부 주도의 체계적, 다각적 지원을 모색하고 있다"면서 "2021년 바이든 행정부의 행정명령 이후 바로 제로트러스트 관련 연구반을 조직하고 논의를 시작했다"고 말했다. 이후 2022 6월 제로트러스트 보안 포럼 결성을 지원했고, 국내외 기술동향 분석과 토론회를 통해 전문가 의견을 수렴했다. 2023년 2월에는 제로트러스트 효과 검증 실증 사업 2건을 발주, 시행했다. 마침내 2023년 7월 제로트러스트 가이드라인 1.0을 발표했고, 8월에는 산업실태 조사를 수행했고, 2024년 8월 제로트러스트 시범사업 4개 과제를 발주했다. 2024년 12월에는 제로트러스트 가이드라인 2.0을 완성, 발표했다. 특히 작년 시범사업은 SGA솔루션즈, 지니언스 등 4개 컨소시엄이 선정, 사업을 수행했는데 "지난해 시범사업은 국가정보자원관리원과 KB국민은행 등 공공기관과 금융사를 대상으로 제로트러스트 도입 첫 사례를 발굴했다는 점에서 의미가 있다"면서 "또 시범사업이 시범 사업으로만 그치지 않고 지니어스 컨소시엄 경우 개발한 보안 모델을 토대로 미국과 칠레 등 여러 국가에 판매하는 성과를 거뒀고, 국민은행은 내부적으로 제로트러스트 성숙도를 고도화하기 위한 투자를 진행 중에 있다"고 말했다. 최 과장은 제로트러스트는 특정 기술이나 특정 제품을 말하는게 아니라면서 "보안에 대한 기본적인 개념을 바꾸는, 어떻게 보면 철학에 가까운 얘기"라고 해석했다. 제로트러스트 가이드라인 1.0의 주요 내용은 ▲첫째, '절대 믿지 말고, 계속 검증하라'는 6가지 기본 철학과 이를 구현하기 위한 3가지 핵심 원칙 ▲둘째, 제로트러스트 아키텍처를 원격지 근무환경 등 일반 근무환경에 적용, 참조 모델을 제시 ▲셋째, CISA 성숙도 모델 등 국외 사례를 참고, 보완해 국내 환경에 적합한 성숙도 3단계 모델과 핵심요소(6종)별 성숙도 모델 제시 ▲넷째, 미국 CISA와 국방부(DoD) 등 해외 사례와 금융망 및 국가기반 시설과 공공 클라우드 보안 인증 등을 고려해 국내 환경에 적합한 핵심요소 6종 도출 등이다. 가이드라인 1.0이 나온지 1년 5개월만에 이뤄진 업그레이드버전 2.0은 1.0과 여러가지가 다르다. 최 과장은 "1.0 발표 이후 많은 문의가 있었다"면서 2.0의 특징을 아홉 가지 정리했다. 첫째, 모델 성숙도가 1.0은 3단계인데 반해 초기 단계를 추가해 4단계로 하나 더 추가했다. 둘째, 1.0은 기업망 핵심 요소별 20가지의 기능을 정의한데 비해 2.0은 27가지 기능 정의로 확대했다. 셋째, 53가지 보안 세부 역량 및 각 세부 역량의 성숙도 수준별 특징을 정의했고 넷째, 성숙도 모델에 기반한 구현방안을 제시했다. 다섯째, 제로트러스트 아키텍처 도입과정때 고려 사항을 구체화했고 여섯째, 도입 준비 단계를 구체화(기술 및 예시 제시) 했고 일곱째, 제로트러스트아키텍처(ZTA) 도입을 위한 조직내 역할과 목표 설정 방안을 제시했다. 여덟째, 도입후 기업망 보안 수준을 평가할 수 있는 방안을 제시했고 아홉째, 부록에서 2023년 제로트러스트 실증 사례를 소개했다.
