[데이터넷] 국내 보안 담당자의 절반 가까이가 올해 사이버 보안 분야에서 가장 화두가 되는 것으로 ‘제로 트러스트’를 들었으며, 기업·기관은 제로 트러스트를 이해하기 위해 노력하고 있는 수준인 것으로 나타났다.

본지가 3월 7일 서울 삼성동에서 개최한 ‘제23회 차세대 보안 비전 2024’ 참가자를 대상으로 실시한 설문조사에 따르면 ‘올해 사이버 보안에서 가장 화두가 되는 것’을 묻는 질문에 45.9%가 제로 트러스트를 들었다. AI 보안을 꼽은 사람은 33.5%였으며, AI를 악용하는 딥페이크나 여론조작이 우려된다는 답은 4.3%였다. IT 업계에서 가장 기대를 갖고 있는 클라우드 보안은 12.4%에 그쳤다.

제로 트러스트 난제 ‘부족한 참고사례’

기업·기관의 제로 트러스트 이해와 준비도를 알아보기 위한 질문에서 39.1%는 ‘제로 트러스트에 대해 이해하기 위해 노력하고 있다’고 답했으며, 37.5%는 ‘제로 트러스트에 대한 이해도를 높이고 있으며, 전략 수립을 위한 준비에 나섰다’고 답했다. ‘제로 트러스트는 우리 회사에 맞지 않는다’는 답은 2.7%, ‘제로 트러스트가 무엇인지 모른다’는 답은 13.6%로, 응답자의 대부분의 제로 트러스트에 대한 기본적인 이해가 있으며, 구체적인 전략을 수립하고 이행할 계획이라는 사실을 알 수 있었다.

제로 트러스트 이행에 있어서 가장 해결하기 어려운 점을 묻는 질문에는 가장 많은 39.6%가 ‘제로 트러스트를 위한 가이드라인이나 참고할만한 모범사례가 없다’고 답했으며, 세 번째로 많은 응답이 ‘보안조직의 제로 트러스트에 대한 이해가 낮다’는 것이었다.

세계적으로도 제로 트러스트는 이제 시작 단계로, 산업별, 조직 규모별, 업무 특성별 활용사례가 충분히 마련되지 않았으며, 장기간 검증되지 않았다. 미국을 비롯한 선진국은 정부 혹은 국책연구기관을 통해 여러 규제와 가이드, 레퍼런스 아키테처를 마련하고 있으며, 기업·기관은 이를 참고해 이제 막 제로 트러스트 략을 수립하고 이행하는 수준이다.

우리 정부도 사이버 보안 정책을 제로 트러스트로 전환하고 확산 촉진을 위한 계획을 진행하고 있으며, 조만간 ‘제로 트러스트 가이드라인 V2.0’ 공개도 예정하고 있어 올해 제로 트러스트와 관련된 구체적인 사례가 나타날 것으로 기대된다.

한편 이 질문에 대한 답 중 25.7%가 ‘경영진의 제로 트러스트에 대한 이해 부족’을 꼽아 제로 트러스트의 장기간 여정이 무사히 진행될 수 있을지에 대한 이견도 나온다. 지금은 제로 트러스트가 유행하기 때문에 도입을 검토하고 있지만, 실제로 업무 프로세스 개선과 인프라 변경을 해야 하는 단계에서도 경영진이 제로 트러스트 필요성에 동의할지 알 수 없다. 따라서 제로 트러스트의 성공적인 진행을 위해서는 현실적으로 이행 가능하면서 자사 조직의 특성에 맞는 목표와 계획을 수립하는 것이 필요하다.

공급망 보호 위해 운영 중 취약점 관리 시급

클라우드 전환이 가속화되고 있지만, 응답자의 43% 이상이 클라우드 보안을 준비하지 않고 있다고 답했다. 32.8%는 ‘클라우드 전환을 이행하고 있지만, 보안 대응은 잘 이뤄지지 않고 있다’고 답했으며, 10.4%는 ‘클라우드 사용률이 많지 않아 보안을 고려하고 있지 않다’고 답했다. 38.8%만이 ‘클라우드 전환 전략에 따라 필요한 보안 요구사항을 이행하고 있다’고 답했으며, 18%는 ‘클라우드를 사용하고 있지 않다’고 답했다.

클라우드 운영을 위해 가장 필요한 보안 솔루션으로 27%는 제로 트러스트 네트워크 액세스(ZTNA)를 꼽았으며, 18.4%는 클라우드 보안 형상 관리(CSPM), 13%는 클라우드 워크로드 보호 플랫폼(CWPP), 10.3%가 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 꼽았다.

최근 가장 심각한 위협으로 꼽히고 있는 공급망 공격과 관련, 36.3%의 응답자는 ‘운영중인 IT 자산과 소프트웨어 취약점 대응’이 가장 시급하게 해결해야 할 사항이라고 답했으며, 그 뒤를 이어 26.9%가 솔루션·서비스 도입을 들었다. 데브섹옵스를 통한 공급망 보호는 12.1%의 답을 얻었다.

기업·기관이 준비하고 있는 공급망 공격 대응 방법은 애플리케이션 보안 테스트(AST) 도구 도입을 통한 개발 중 소프트웨어 취약점 제거(33.3%)를 꼽았다. 운영중인 자산 보호를 위한 ‘실시간 취약점 정보 모니터링(27.5%)’, ‘빠른 패치 적용(24.7%)’를 꼽았다. 소프트웨어 자재 명세(SBOM)와 소프트웨어 구성 분석(SCA) 솔루션 도입(21.4%)이 네 번째로 많은 답을 받았다.

경기 침체로 보안 투자 매우 저조

IT 업계를 뒤흔들어 놓은 AI에 대한 높은 관심도 이번 설문조사에서 드러났다. 특히 AI를 이용한 공격에 대한 경각심이 높아지고 있는데, 41.8%의 응답자가 AI와 관련된 위협 중 가장 심각한 영향을 미치는 것으로 ‘피해자 맞춤형으로 제작된 정교한 피싱’을 들었다. 그 뒤를 이어 ‘AI 활용 취약점 탐색과 침투(26.4%)’, ‘딥페이크를 이용한 거래대금 탈취, 주가 조작 등 각종 사기(12.1%), ‘LLM 모델 공격, 오염된 데이터 주입 등으로 AI 결과 왜곡(12.1%)’ 등의 답이 나왔다.

더불어 AI를 이용한 보안역량 향상 효과도 높을 것으로 보인다. 응답자의 절반에 가까운 47.3%가 ‘EDR, XDR, SIEM/SOAR 등 위협 탐지와 대응’에 AI를 적용했을 때 유용하게 사용할 수 있을 것이라고 답했다. 뒤를 이어 16.5%는 ‘AI 이용 교육으로 보안인력 역량 향상’, 15.9%는 ‘시큐리티 코파일럿과 같은 AI 보안 비서’가 효과적일 것이라고 밝혔다.

올해 보안 예산 수준을 묻는 질문에는 56.6%가 전년과 동일하다고 답해 사이버 보안 위기 상황에서도 보안 투자는 저조한 것으로 나타났다. 전년대비 20% 이상 하락했다고 답한 사람도 8.8%에 이른다. 15.9%는 전년대비 10% 이상 상승했다고 답해 올해 보안 시장은 그 어느 때 보다 어려운 시기를 보내게 될 것으로 보인다.

그럼에도 불구하고 34.1%의 응답자가 올해 보안사업 중 가장 중요하게 여기는 것으로 ‘새로운 위협 대응을 위한 보안 솔루션 도입’을 꼽았으며, 23.6%는 ‘제로 트러스트, 클라우드 등 새로운 이슈에 대응하는 방안 모색’을 들어 새로운 보안 사업을 기대할 수 있을 것으로 보인다.