[아이티데일리] 한국정보보호산업협회(KISIA, 회장 이동범)가 30일 서울 서초구 한국컨퍼런스센터 대강당에서 “계속 검증하라, 차세대 보안 패러다임 제로트러스트”를 주제로 한 ‘제로트러스트 활성화를 위한 컨퍼런스’를 성공리에 개최했다.
KISIA가 발족한 한국제로트러스트위원회(KOZETA, 위원장 조영철)의 주관으로 열린 이번 컨퍼런스에는 산·학·연 전문가들이 모여 국내 제로트러스트 시장 확대와 활성화 방안들을 논의했다. 이날 행사에서는 △제로트러스트 개념과 글로벌 동향 △KISIA가 진행한 제로트러스트 설문조사 결과 △과학기술정보통신부 추진 ‘제로트러스트 실증사업’을 주도하고 있는 SGA솔루션즈 및 프라이빗테크놀로지의 제로트러스트 공급 사례 등이 공유됐다.
“제로트러스트 구현은 ‘협력’이 필수”
본격적인 발표 섹션에 앞서, KOZETA 조영철 위원장은 개회사를 통해 제로트러스트 보안 철학 도입의 필요성과 제로트러스트 구현을 위한 여러 공급·수요기업들 간 협력의 중요성을 강조했다. 이어 조 위원장은 “정부에서는 ‘제로트러스트 가이드라인 1.0’을 발간하고 제로트러스트 실증사업을 진행 중이다. 실증사업 과제를 공유하는 이번 자리를 마련해 준 SGA솔루션즈와 프라이빗테크놀로지에 감사하다”며 “또한 정부에서는 ‘K-시큐리티 얼라이언스’를 준비하고 있다. 국내 보안을 향상시키기 위해서는 제로트러스트 철학 아래, 단일 솔루션이 아닌 여러 기업들의 솔루션을 연동하고 공유할 필요가 있다. 이번 컨퍼런스를 통해 제로트러스트 활성화의 마중물이 되기를 기대한다”고 말했다.
과기정통부 정은수 정보보호산업과장도 축사를 통해 “과기정통부는 보안 사고에 대한 우려 없이 국내 기업들이 제품의 서비스와 품질의 향상을 도모할 수 있도록 노력 중이다. 올해 7월에는 제로트러스트 가이드라인 1.0을 발간하고, 국내 기업들이 제로트러스트 도입을 추진할 수 있도록 실증사업을 진행하고 있다”며 “제로트러스트 구현은 정보보호 기업 간의 협업이 필수적이다. 과기정통부는 이러한 협업 기반 조성을 통해 국내 기업들의 글로벌 시장 진출을 확대하고 지속 성장할 수 있도록 돕겠다. 이를 위해 산업계 및 학계 의견을 청취하고, 관련 정책 개선 및 고도화 방안을 마련할 수 있도록 노력하겠다”고 밝혔다.
이어 KISIA 이동범 회장도 축사를 전하며 “새로운 보안 패러다임 제로트러스트 구현은 수요·공급기관 모두가 함께 노력하며 나아가야 하는 긴 여정”이라면서 “산·학·연 전문가들이 제로트러스트 시장 확대와 생태계 활성화를 위해 논의하고 아이디어를 공유한다는 차원에서 이번 컨퍼런스 자리가 뜻깊다”고 강조했다.
개회사 및 축사 이후에는 행사 첫 번째 순서로 순천향대학교 염홍열 교수가 ‘차세대 보안 패러다임 제로트러스트 개념과 글로벌 동향’을 주제로 발표를 진행했다. 염홍열 교수는 기존 전통적인 네트워크 보안 구조와 제로트러스트 아키텍처의 차이점을 비교 설명하며, 제로트러스트 개념에 대한 참석자들의 이해를 도왔다. 염홍열 교수는 “미국, 영국을 비롯한 세계 주요국들은 이미 제로트러스트 문화를 채택하고 가이드라인을 발간하는 등 정책적으로 추진하고 있다. 우리나라도 제로트러스트 가이드라인 1.0을 발간했으며 최근에는 제로트러스트 및 공급망 보안과 관련한 성숙도 모델 개발을 논의하는 과정에 있다”고 설명했다.
다음으로 KISIA 정호준 팀장이 KISIA가 제로트러스트 수요·공급기업들을 대상으로 진행한 제로트러스트 설문조사 결과 및 시사점을 공유했다. 해당 설문 결과에 따르면, 수요·공급기업 모두 제로트러스트 도입 시 애로사항으로 기존에 구축한 보안체계와의 호환성과 예산을 꼽았다. 추가로 공급기업들은 공공기관의 제로트러스트 도입 정책 부재도 문제로 지적했다. 이에 대해 정호준 팀장은 “제로트러스트 활성화를 위한 협업환경 조성이 중요하다. 수요기업과 공급기업 간의 실증사업을 통해 국내에 적합한 보안 환경 구축도 필요한 상황이다. 또한 제로트러스트 관련 세부적인 정책과 가이드라인 개발 및 우수사례 발굴, 그리고 보안 제품 간 호환성을 평가할 수 있는 구체적인 기준이 필요하다”고 제언했다.
제로트러스트 실증사업 구축 사례 공유
컨퍼런스 두 번쨰 섹션에서는 제로트러스트 구축 사례를 비롯한, 과기정통부 제로트러스트 실증사업에 참여 중인 SGA솔루션즈 컨소시엄 및 프라이빗테크놀로지 컨소시엄의 발표가 이어졌다.
먼저 ‘토스(Toss) 제로트러스트 구축 전략 및 운영 사례’를 주제로 비바리퍼블리카 정연우 엔지니어가 토스에 제로트러스트를 도입한 계기와 전반적인 현황 등을 공유했다. 비바리퍼블리카는 아이덴티티(Identity), 네트워크, 디바이스 등 중요 영역 각각에 대한 보안 기술 연계 작업을 진행함으로써, 토스 내부 시스템의 API 연동을 통한 자동화 기반 관리가 가능하도록 제로트러스트 아키텍처를 구축했다.
이에 대해 정연우 엔지니어는 “토스 시스템에 제로트러스트를 도입하면서 계정, 네트워크 관리의 중앙화를 통한 보안 통제 및 관리 편의성이 향상됐다. 또한 내·외부 경계 없이 모든 단말기에 대한 보안성을 확보해 실시간 엔드포인트 관리가 가능해졌다”고 덧붙였다.
다음으로 컨소시엄을 구성해 과기정통부 제로트러스트 실증사업을 주도하고 있는 SGA솔루션즈의 R&D총괄 이기욱 상무가 ‘NIST SP 800-207 ZTA 기반 ZT 아키텍처 구축사례’를 주제로 현재 진행 중인 실증사업 현황 및 자사가 도입한 보안 솔루션 기능을 소개했다.
SGA솔루션즈는 올 6월부터 에스지앤, 지니언스, 소프트캠프와 컨소시엄을 구성해 제로트러스트 보안 모델 실증 지원사업을 주관하고 있다. 해당 사업의 완료 시점은 내달까지로, 주요 수요기관으로는 넷마블, NHN클라우드, 부동산일일사, 예스티 등의 기업들이 있다.
SGA솔루션즈는 이번 실증사업에서 △본사/지사 환경 △멀티 클라우드 환경 △외부인들의 액세스 환경 △기업 간 협업 환경 등 4가지의 유즈케이스 환경을 중점으로 제로트러스트 아키텍처 설계를 진행했다. 뿐만 아니라, NIST SP 800-207 및 학계, 외국 논문 등을 참고해 제로트러스트 알고리즘도 만들었다. 이와 관련, 이기욱 상무는 외부인이 기업 내부 시스템에 한시적으로 접근할 수 있는 접근 권한 승인 솔루션인 ‘SGA ZTA 포털’을 소개했다. 이외에도 SGA솔루션즈의 ‘UEM 에이전트(UEM Agent)’를 기반으로 한 디바이스 등록 솔루션을 참석자들에게 공유했다.
이기욱 상무는 “SGA솔루션즈가 추진 중인 제로트러스트 아키텍처 구축은 기존에 기업에서 사용하던 솔루션들을 바꿔 새롭게 설치하는 것이 아니라, 기존의 환경에 보안이 강화된 추가적인 제품을 활용하는 방식이다”라며 “SGA솔루션즈의 제로트러스트 포털 통합 대시보드와 UEM 에이전트 등의 솔루션들은 외부에서 내부로 접근할 때 검증을 거치고, 그 이후 내부 시스템에서도 위험도를 체크해 기준치를 넘길 경우 접근 권한을 제한하는 제로트러스트 환경을 구축했다”고 밝혔다.
다음으로는 프라이빗테크놀로지의 김주태 상무가 과기정통부 제로트러스트 실증사업과 관련한 자사의 개발 현황을 발표했다. 프라이빗테크놀로지에서는 LG유플러스, 한국지능정보사회진흥원(NIA), 한국주택금융공사(LH) 등을 주요 수요기관으로 다양한 사례 발굴을 진행하고 있다. 특히 프라이빗테크놀로지는 실증사업이 마무리되는 내달 말까지, 순차적으로 모의 침투 시나리오 및 랜섬웨어 감염 실험 등을 진행하며 자사가 구축한 제로트러스트 아키텍처의 효과성을 검증할 계획이다.
프라이빗테크놀로지 김주태 상무는 “프라이빗테크놀로지는 다양한 기업 환경에서 API 통합이 가능하도록 실증을 진행 중이다. 제로트러스트의 핵심은 확인된 디바이스에서, 허락된 네트워크에, 확인된 애플리케이션에만 접속해야 한다는 것이다. 글로벌 기업들도 아직까지는 이러한 통신 제어 방식이 잘 갖춰져 있지 않다. 프라이빗테크놀로지는 국내 기업들의 제로트러스트 구현을 위해 지속적으로 노력하겠다”고 강조했다.
컨퍼런스의 마지막 순서로는 ‘수요, 공급, 정부 측면에서의 ZT 활성화 방안 논의’를 주제로 패널토의가 이뤄졌다. 좌장에 염홍열 교수가, 패널에는 정은수 과장, 조영철 위원장, SGA솔루션즈 최영철 대표, 김주태 상무가 참석했다.
패널토의에서 염홍열 교수는 “제로트러스트 1.0 가이드라인에 대한 후속 조치가 필요하다. 특히 각기 다른 정보시스템에 대해 어떻게 제로트러스트를 구축할 것인지, 모든 산업군에 적용될 수 있는 공통의 보안 모델에 대한 논의가 이뤄져야 한다”며 “추가로 핵심 보안 기술 연구개발을 위한 보안 인력 양성도 중요하다. 기업과 학계가 함께 협업해 국내 기업들의 제로트러스트 역량을 향상시킬 수 있다”고 당부했다.