정부, ‘진짜’ 제로 트러스트 회사 찾는다…실증·검증 동시에

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

나날이 커지는 사이버보안 위협에 대응하기 위해 정부가 차세대 보안 솔루션인 ‘제로 트러스트’ 실증에 나선 가운데 모델 안전성 평가도 동시에 진행한다. 제로 트러스트 도입에 따른 보안 안전성 강화를 입증해 제로 트러스트 조기 안착과 활성화에 힘을 싣겠다는 의지다.

과학기술정보통신부는 제로 트러스트 보안 모델 실증 지원사업에 참여한 사업자가 개발한 제로 트러스트 보안 모델 안전성을 검증하기로 했다. 앞서 과기정통부는 제로 트러스트 보안 모델을 실증할 컨소시엄을 공모했다. 서류·심층평가 등을 거쳐 컨소시엄 두 곳을 선정한다. 선정된 컨소시엄이 제로 트러스트 보안 모델을 개발을 맡기는 동시에 모델 안전성을 검증하는 준비 작업에 착수한 것이다.

제로 트러스트는 기존 경계 기반 보안체계를 보완하는 새로운 보안 개념이다. 신뢰성이 보장되지 않은 네트워크 환경을 가정해 다양한 컴퓨팅 자원에 대한 지속적 접근 요구에 최소한의 권한을 부여하고, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 게 골자다. 코로나19 펜데믹 이후 재택근무 등 원격근무 활성화로 인해 공격표면이 늘어나는 등 보안 취약성이 커지면서 제로 트러스트 등 새로운 보안 체계 도입 필요성이 커졌다.

과기정통부가 실증과 검증 동시 추진에 나선 것도 국내 보안 시장에서 제로 트러스트 안착에 속도를 내기 위해서다. 제로 트러스트가 다소 철학적 개념을 띄는 만큼 실질적인 보안성 강화 효과 증명이 필수적이다.

과기정통부는 안전성 검증을 위해 모의침투를 수행한다. 컨소시엄이 개발한 제로 트러스트 보안 모델을 적용하기 전과 후 업무환경을 분석하고 제로 트러스트 특성 등을 반영한 맞춤형 시나리오를 개발해, 도입 효과를 검증한다. 제로 트러스트 아키텍처에서 발생할 수 있는 보안 위협에 대한 대응 능력도 확인할 방침이다.

과기정통부 관계자는 “제로 트러스트 도입은 경계 보안을 고도화해 기존 체계 문제점을 해결하는 게 목적”이라면서 “안전성 검증을 통해 제로 트러스트가 구체적으로 어떤 보안성 강화 효과가 있는지를 입증해야만 도입에 소극적인 기업도 전향적으로 변할 것”이라고 말했다.

이번 안전성 검증이 중장기 미래 먹거리로 떠오른 제로 트러스트 사업을 선점하기 위해 우후죽순 늘어난 ‘제로 트러스트 표방’ 업체를 솎아내기 위한 작업이라는 견해도 있다.

한 보안업체 대표는 “모의침투 시험은 보안 효과성을 입증하기 위한 것으로 경계 보안 모델 문제점을 제로 트러스트 모델로 해결할 수 있느냐가 관건”이라면서 “기존 경계 보안 기업이 어설프게 제로 트러스트에 뛰어들어갔다간 바닥이 드러날 수 있다”고 말했다.

조재학 기자 2jh@etnews.com