올해 6월 한국형(K)-제로 트러스트 모델 발굴을 위한 실증 사업 공모 및 사업자 선정을 시작으로 세계적 표준화 및 도입 의무화 추세에 맞춰 우리나라도 본격적인 제로 트러스트 여정의 닻을 올렸다.
실증 사업자로 선정된 당사는 네트워크 중심 제로 트러스트 모델을 제안해 다양한 기술과 컴포넌트를 네트워크 중심으로 통합하기 위한 어려운 여정을 진행하고 있다.
실증 사업은 제로 트러스트 성숙도 모델 1.0 및 제로 트러스트 7원칙 준수와 더불어 인증 체계 강화(EIG), 마이크로 세그멘테이션(Micro-Segmentation), 소프트웨어정의경계(SDP)를 구현하고, 구현된 제로 트러스트 모델과 경계 보안 모델 대비 개선 효과를 도출하는 것을 목표로 한다.
당사는 제로 트러스트 모델의 목표와 기본적 개념, 원리는 그대로 두고 글로벌 기업이 선점한 특허를 인용하지 않으면서 향상된 기술을 제공하기 위한 답안이 '네트워크'임을 확인하고, 제로 트러스트의 다양한 구성 요소를 담을 수 있는 넓고 깨지지 않는 그릇을 제공하기 위해 네트워크 중심 제로 트러스트 모델 실증 및 연구·개발(R&D)에 집중하고 있다.
특히 LG유플러스, 한국지능정보사회진흥원, 한국주택금융공사와 무선 통신, KT 클라우드 기반 공공 서비스형소프트웨어(SaaS), 데스크톱가상화(VDI) 환경에서 각각 실증을 수행하고 있다.
실증 과정에서 제로 트러스트 모델 확산에 필요한 새로운 기능 요소를 도출함과 동시에 보안으로 인해 사용할 수 없었던 환경을 개선할 수 있음을 알게 돼 관련 기술을 개발하고 추가 실증을 진행하고 있다. 실증이 완료되는 연말이 되면 제로 트러스트가 필요로 한 다양한 기관의 고민을 해결하는 방안을 제시할 수 있을 것으로 기대한다.
특히, 정답이 없는 제로 트러스트 여정에서 누가 더 빨리 향상된 방법을 찾느냐는 글로벌 시장 확산에 필수적인 글로벌 기업 대비 도입 효과성 입증 측면에서 매우 중요한 요소로 작용하기 때문에 당사 또한 적극적으로 실증 지원을 아끼지 않고 있다.
하지만, 고려해야 할 것이 많은 제로 트러스트 모델은 분명히 어려우며, 이는 도입 및 확산 측면에 매우 큰 걸림돌이 될 수 있다는 의견이 존재한다. 제로 트러스트 모델을 통해 강력한 제어와 가시성 확보 등이 가능하게 됐지만 경계 보안 모델 대비 높은 기술 이해도와 상세한 설정이 필요하기 때문이다.
특히 글로벌 시장에서 K-제로 트러스트 모델을 확산하기 위한 핵심 요소 중 하나가 도입 및 운영 편의성이 될 것으로 예상된다. 실증 과정에서 얻어진 데이터를 통해 설정없이 즉시 적용 가능한 동적 정책 결정 모델을 지속 개발·보완하고 있다. 실증 완료 이후 쉽게 사용할 수 있는 사용자 환경(UI)에 기반한 버전을 출시할 것으로 예상한다.
K-컬처 열풍으로 한국적 정서나 문화가 세계에서도 통한다는 인식이 확산하고 있다. 우리나라의 갈라파고스화된 보안 환경 역시 글로벌 시장에서 통하는 방법이 있지 않을까 하는 도전적인 생각을 하고 있다.
다양한 망분리 환경에 제로 트러스트 모델을 적용하고 공통평가기준(CC) 인증을 획득하는 과정에서 각각의 규제 요소를 살펴보면 무엇을 우려하고 고민해 정책이 만들어졌을 지 보안 전문가로서 공감되는 부분이 많이 존재한다.
우리나라의 갈라파고스 환경을 제로 트러스트 모델로 해결하고 극복하는 과정에서 글로벌 기업이 모방할 수 없는 까다로운 수준의 보안 요소를 충족하는 제로 트러스트 모델이 만들어진다면, 세계적 제로 트러스트 표준화 흐름 속에서 한국적인 것이 세계적인 것이 될 수 있을 것으로 기대한다.
김영랑 프라이빗테크놀로지 대표 benjamin@pribit.com
