제로 트러스트 국제표준화의 여정이 시작됐다. 제로 트러스트 국제표준이 산업적 파급력이 크고 보안 패러다임 전환을 가속화하는 만큼 정부와 유관기관을 비롯한 산·학·연의 공동 대응이 필요하다는 목소리가 높다.
12일 정보호호업계 등에 따르면, 최근 스위스 제네바에서 열린 국제전기통신연합 전기통신표준화 부문(ITU-T) 정보보호연구반(SG17) 국제회의에서 한국이 제안한 제로 트러스트 보안을 신규 표준과제로 승인했다. 이에 따라 오는 2026년 하반기까지 제로 트러스트 공통 표준화가 완료될 예정이다.
국제표준화 과정은 국가마다 자국에 이로운 방향으로 이끌어가기 위한 '총성 없는 전쟁'으로 통한다. 총칼 대신 말과 글, 논리로 표준을 전개하기 때문이다.
실제 한국이 제안한 제로 트러스트 보안 신규 표준과제를 올리는 과정도 만만찮았다. 가장 먼저 용어정의를 두고 이견이 오갔다. 미국 국립표준기술원(NIST)이 발표한 'SP 800-207'의 용어정의를 국제표준에 사용하는 게 맞느냐는 문제였다. 논의 끝에 NIST의 용어정의가 기술적인 용어인 데다 현재 환경에서 가장 적합한 용어라고 판단했다.
가장 큰 난관은 NIST의 제로 트러스트 7개 필러(기둥·Pillar)를 그대로 국제표준에 반영해야 하는지 여부였다. 미국 연방정부에 제로 트러스트를 구현하기 위한 NIST 'SP 800-207'를 실제 통신망에 적용하기엔 적합하지 않다는 이유에서다. 이 역시 NIST에서 사용한 '유저'를 '엔드 디바이스(아이덴티티 포함)'로, '거버넌스'를 '네트워크 매니지먼트'로 변경하는 등 모델을 재정립했다. 최종적으로 7개의 기둥을 8개의 영역(Area)으로 정리했다.
이번에 ITU-T SG17이 국제표준을 추진하는 제로 트러스트 보안은 공통모델이다. 6세대(G) 통신·스마트팩토리·스마트시티·지능형교통체계(ITS)·이헬스(E-Health) 등 융·복합 제로 트러스트 모델은 다음 표준으로 개발하는 대신 개념을 부록에 담기로 합의했다.
제로 트러스트 국제표준은 당초 한국이 제시한 기술적인 표준인 AAP(Alternative Approval Process)가 아닌 규제를 포함한 TAP(Traditional Approval Procedur)로 추진된다. 영국과 미국 등 주요국이 한목소리를 냈다는 점에서 주목할 만하다. TAP는 국제회의에 참석한 국가가 만장일치로 합의해야만 국제표준에 채택될 수 있다. 영어로만 공고되는 AAP와 달리 영어를 비롯해 프랑스어·러시아어·스페인어·아랍어·중국어 등 6개국어로 번역되는 등 위상도 다르다.
ITU-T는 회원국 주권을 존중해 국제표준을 권고(recommand)해 강제성은 없지만, 국제표준이 상호연동성을 위한 것이므로 준수하지 않을 시 고립을 자초하는 꼴이 된다. 향후 각국이 제로 트러스트 표준화를 두고 각축전을 벌일 것으로 예상되는 이유다.
전문가들은 글로벌 협력 강화에 주력하는 한편 정부와 산업계 간 긴밀한 공조체계가 필요하다고 제언한다.
ITU-T SG17 의장인 염흥열 순천향대 교수는 “국제표준 추진을 위한 양자·다자 등 국가 간 협력과 한국의 리더십을 강화해야 한다”며 “정부 관계부처와 산·학·연이 함께 제로 트러스트 국제표준화 추진을 위한 대응체계를 구축할 필요가 있다”고 말했다.
조재학 기자 2jh@etnews.com
