1. 업무환경 변화에 따른 제로트러스트 필요성
코로나19로 인해 클라우드 기반의 재택·원격 근무가 확산되고, 사이버공격이 지능화·고도화됨에 따라 기존 경계기반 보안모델은 한계에 도달하 게 되었다. 이러한 환경에 대응할 수 있는 새로운 보안 모델로 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’라는 표현으로 대표되는 제로 트러스트(Zero Trust)가 최근 주목을 받고 있다. 미국 등 세계 주요국의 정부와 기업들은 제로트러스트 기반의 보안 체계를 도입하고자 노력하고 있다.
2. 제로트러스트란?
제로트러스트는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하고, 기업망 등의 내외부에 언제나 공격자가 존재할 수 있으며, 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기 및 네트워 크 트래픽을 신뢰하지 않고, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업 등의 정보 자산을 보호할 수 있는 보안 모델을 의미한다.
3. 제로트러스트 도입 현황
미국은 현재 정부 주도로 제로트러스트 보안전략을 강하게 추진하고 있다. 2014년과 2015년 두 차례의 미국 연방정부 인사관리처(OPM, US Office of Personnel Management) 개인정보 유출사고 이후, 미국 하원 감독개혁위원회는 관련 보고서에서 이러한 해킹사고를 방지할 수 있는 제로트러스트 모델로의 전환 노력을 권고하였다. 이후, 2021년 5월 행정명령을 통해 연방정부의 제로트러스트 도입을 공식화하는 등 미국 정부는 적극적으로 관련 정책을 추진 중이다.
한편, 영국은 2021년 7월 ‘제로트러스트 아키 텍처 설계 원칙(Zero trust architecture design principles v1.0)’을 발표하였으며, 일본은 2022 년 6월 ‘제로트러스트 아키텍처 적용 정책(ゼロト ラストアーキテクチャ 適用方針)’을 발표하였다.
4. 제로트러스트 관련 우리의 과제
최근 정부가 제로트러스트에 관한 가이드라인을 발표하였으나, 법률에 직접적인 근거를 규정하고 있지는 않다. 그런데 공공과 민간이 적극적으로 제로트러스트를 도입할 수 있도록 하기 위해서는 법적 기반이 뒤따라야 한다는 지적이 있다.
현재 제로트러스트 활성화를 위한 가장 큰 걸림돌은 기업의 제로트러스트 인식 부족이다. 한국정보보호산업협회가 실시한 ‘국내 제로트러스트 관련 산업 실태조사’에 따르면 정보보호 솔루션 수요 기업의 62.5%가 제로트러스트라는 용어를 모른다고 응답했으며, 31.0%의 기업이 용어는 들어 봤으나 자세히 알지는 못한다고 응답하였다.
제로트러스트 도입으로 보안을 강화할 수 있지만 시스템을 구축·유지하는 데는 상당한 시간과 투자가 필요하다. 따라서 제로트러스트 도입에 자발적 참여를 유도하기 위해서는 구체적인 유인책이 필요하나, 현재 별도의 지원 제도가 없는 상황이다.
