실증사업으로 구축된 제로 트러스트 모델 보안성 검증 결과 41% 보안 향상
“제로 트러스트 보안 체계 구축 위해 정보보호 솔루션 호환성 확보해야”
[데이터넷] 제로 트러스트 보안 모델 적용으로 기업의 보안성이 41% 향상됐다는 조사 결과가 나왔다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 11일 개최한 ‘제로 트러스트 보안모델 실증 성과 공유회’에서 올해 하반기 진행한 제로 트러스트 실증사업을 통해 이러한 결과가 도출됐다는 내용이 공개됐다.
제로 트러스트 실증사업은 올해 7월 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄이 공공·민간 기업을 대상으로 제로 트러스트 보안 모델을 구축, 운영해 실제 도입 가능성을 확인했다. 그리고 화이트해킹 기업 엔키가 구축된 모델에 대한 침투테스트를 진행한 결과 기존 보안 모델보다 41% 향상됐다는 분석이 나온 것이다.
이성권 엔키 대표는 “이번 점검이 실제 운영 환경을 대상으로 한 것은 아니지만, 국내에서 가장 많이 발생하는 위협 시나리오 30여개를 활용해 테스트한 것이기 때문에 신뢰수준이 높다고 확신한다”며 “제로 트러스트 보안 모델을 통해 보안 수준을 크게 높일 수 있을 것으로 기대된다”고 말했다.
이성권 대표는 “다음에는 실제 운영환경에서 제로 트러스트 모델을 구축한 후 평가해야 할 필요가 있다. 특히 정책결정지점(PDP)에 대한 검증은 하지 않았는데, 공격자가 가장 많이 공격할 지점이 PDP인 만큼, 이 지점에 대한 보안 점검이 필요하다”고 덧붙였다.
수요기업 77% “제로 트러스트 도입 계획 없어”
이 행사는 정부의 제로 트러스트 정책과 실증사업 효과에 대해 상세히 소개하기 위해 마련됐다. 이 행사에서는 국내 제로 트러스트 산업의 실태조사 결과도 발표했는데, 수요기업의 62.5%가 ‘제로 트러스트를 모른다”고 답했으며, 77%가 ‘제로 트러스트 도입 계획이 전혀 없다’고 말했으며, 제로 트러스트 도입 의향이 없는 이유를 묻는 질문에 62%가 ‘제로 트러스트에 대한 정보가 부족해서’라고 답했다.
보안 솔루션 공급기업의 경우 31%가 제로 트러스트 솔루션 개발·계획이 없다고 답했으며, 37%는 개발계획 단계, 24%는 관련 제품을 출시했다고 답했다. 제로 트러스트 사업 확대의 어려움 점은 인증 획득, 도입절차 등이 복잡하다는 점을 꼽았으며, 그 뒤를 이어 정책과 방향성이 없다는 점을 지적했다.
이 조사 결과를 발표한 유진호 상명대 교수는 “제로 트러스트에 대한 전반적인 인식 제고를 더 적극적으로 펼쳐야 하며, 제품간 상호 호환성을 반드시 지켜 제로 트러스트 보안 모델의 확산을 보장해야 한다”고 주장했다.
기초 튼튼한 제로 트러스트 모델 구축 위해 노력
이 날 세미나에서는 실증사업을 주관한 SGA솔루션즈와 프라이빗테크놀로지가 사업의 중요 내용과 결과를 소개했다.
SGA솔루션즈는 에스지엔, 지니언스, 소프트캠프와 컨소시엄을 구성했으며, 수요기관으로 넷마블, 부동산114, 예스티, 엔에이치엔 클라우드가 참여했다.
이 컨소시엄은 풀스택 제로 트러스트 아키텍처를 목표로, 미국 NIST SP 8800-207 표준 구조에 최적화된 모델을 통해 제로 트러스트 네트워크 액세스(ZTNA)와 제로 트러스트 액세스(ZTA)를 구현했다. 또 제로 트러스트 성숙도 모델과 정의를 활용해 제로 트러스트 도입 전·후의 정량적 모델을 평가, 증명 가능한 ZTA 프레임워크를 구축했다.
최영철 SGA솔루션즈 대표는 “SGA솔루션즈 컨소시엄은 제로 트러스트 보안 전문기업이 함께 다양한 산업 기업에 ZTNA와 ZTA를 구현해 실제 국내 실정에 적합한 모델을 만들었다는데 의의가 있다”며 “수요기업의 내부보호 강화, 공격표면 최소화, RBI 기반 안전한 웹·애플리케이션 서비스와 데이터 관리가 가능하다는 점을 입증했다”고 밝혔다.
프라이빗테크놀로지 컨소시엄은 한국IoT융합사업협동조합 대표 기업인 타이거컴퍼니가 참여했으며, LG유플러스, 한국지능정보사회진흥원(NIA), 한국주택금융공사(HF)가 수요기업으로 참여했다. 이 사업에서는 강화된 아이덴티티 거버넌스(EIG), 소프트웨어 정의 경계(SDP), 마이크로세그멘테이션을 통합 적용해 효과성을 검증했다.
LG유플러스는 무선통신환경을 보호하기 위한 제로 트러스트 기반 무선통신 전용 라우터 개발과 적용, NIA는 망분리 등 공공기관에 맞는 제로 트러스트 구축, HF는 원격근무·유지보수 업무 환경에서의 실증을 진행했다.
김영랑 프라이빗테크놀로지 대표는 “이번 실증사업을 통해 기초가 튼튼한 제로 트러스트 모델을 만드는데 집중했다. 프라이빗테크톨로지는 실증사업 외에도 다양한 산업군에서 실제 제로 트러스트를 구축, 성공한 데이터를 갖고 있으며, 국내 여러 보안 기업들과 협력해 제로 트러스트 모델의 완성도를 높이고 있다”며 “K-제로 트러스트 모델의 성공을 위해 여러 기업·기관과 협력 관계를 더 길게 하는 한편, 글로벌 기업의 선진사례를 벤치마크 해 글로벌 시장 진출 기회를 다질 것”이라고 말했다.
한편 이 행사의 개회사를 맡은 이원태 KISA 원장은 “이번 실증사업을 통해 제로 트러스트 보안 강화 효과가 있다는 사실이 입증된 만큼, 제로 트러스트 보안 체계 확산을 위해 더 노력하겠다. 이를 통해 안전한 디지털 시대를 만들어 갈 것”이라고 밝혔다.
홍진배 과기부 네트워크정책실장은 “정보보호 공시 의무화 후 기업의 보안 투자가 20% 이상 늘어나는 등 큰 성과가 있었다. 제로 트러스트 보안 역시 실제 기업·기관의 보안 수준 향상의 효과를 거둘 수 있을 것으로 기대한다. 이번 실증사업을 통해 도출된 결과를 기반으로 제로 트러스트 가이드라인을 개정하고 성숙도 모델도 구체화하면서 국내 기업·기관의 제로 트러스트 기반 보안 강화를 도모할 것”이라고 설명했다.
