소프트캠프가 새로운 보안 패러다임으로 각광받는 제로 트러스트를 구현하는 구체적 방안을 제시했다. ‘아무것도 믿지 않는다’는 다소 철학적인 제로 트러스트 개념을 현실적으로 풀어내는 방법론을 내놓은 것이다.
배환국 소프트캠프 대표는 22일 서울 강남구 조선팰리스에서 열린 기자간담회에서 “제로 트러스트는 ‘절대 신뢰하지 말고 항상 검증하라’는 의미로 추상적”이라면서 여섯 가지 구현 방안을 밝혔다.
구체적으로 △침해를 가정한 세분화 △조건부 접근 정책(Conditional Access) △정보 원천적 유출방지 △외부 위협 격리 △외부 유입정보의 필터링(CDR) △외부 단말기 설치 없는 트레이스리스 액세스(Traceless Acess) 등이다.
조건부 접근 정책은 정책 판단 엔진이 사용자가 내부인지 외부인지, 어떤 디바이스로 접근하는지 등을 따져 신원 확인 정도를 구분하는 것이다. 예를 들어 사용자가 내부에서 접속하면 아이디·패스워드로 인증을 끝내지만, 외부에서 접근할 경우 일회용비밀번호(OTP)·문자메시지(SMS) 등을 통해 추가 확인 절차를 진행한다.
외부 위협 격리는 일종의 버퍼 공간을 만들어 직접 접근을 막는 방법이다. 사용자가 웹에 직접 접속하는 게 아니라 원격 브라우저 격리(RBI·Remote Browser Isolation)를 통해 웹 화면만 보게 된다. 직접 접속하지 않기 때문에 악성코드 등 위협으로부터 자유로우며 속도 등 이용에도 불편함이 없다.
배 대표는 “여섯 가지 제로 트러스트 구현 방안은 소프트캠프 ‘시큐리티Security 365’를 통해 실현이 가능하다”고 강조했다.
소프트캠프는 4~5년 전부터 제로 트러스트와 공급망 보안을 위한 작업을 착실히 준비해왔다. 인터넷티비(IPTV) 기술을 보유한 ERmind에 투자해 RBI 기술을 개발했고, 메일 전문 기술을 가진 소프트 모어를 인수·합병(M&A)했다. 사이버보안에서 메일을 외부 위협 중 하나로 보기 때문이다. 또 소프트웨어 화이트햇 기업 ENKI와 합작해 자회사 ‘레드펜소프트’를 설립했다.
소프트캠프는 현재 정부가 추진 중인 제로 트러스트와 공급망 실증 사업 모두 참여하고 있다. SGA솔루션즈·지니언스와 함께 컨소시엄을 꾸려 제로 트러스트 실증에 나섰으며, 레드펜소프트가 스패로우와 함께 공급망 실증 사업을 진행하고 있다.
배 대표는 “코로나19 이후 원격근무가 정착하면서 기존의 경계형 보안에 한계가 발생해 제로 트러스트가 떠올랐다”면서 “원격근무와 사무실 출근을 병행하는 하이브리드 업무환경의 보안 트렌드에 발맞춰 제로 트러스트 보안 구현에 앞장서겠다”고 말했다.
조재학 기자 2jh@etnews.com
