정부 기관과 반도체 기업, 금융권을 대상으로 한 사이버 공격이 늘고 있다. 디도스, 랜섬웨어, 피싱 등 형태를 가리지 않고 해킹이 지속되면서 근본적인 해결 방안으로 ‘제로 트러스트’ 보안 모델을 도입해야 한다는 목소리가 커지는 상황이다.
제로 트러스트는 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다. 용어 그대로 ‘아무도 믿지 말라’는 원칙이 기본 전제다. ‘입구만 잘 지키는’ 기존의 보안 체계와 달리 제로 트러스트는 서버, 컴퓨팅, 데이터 등을 각각 분리해 보호하기 때문에 특정 시스템이 뚫려도 다른 시스템은 지킬 수 있다. 신원이 확실해도 최소한의 접근 권한만 부여한다. 내부자와의 공조를 막기 위한 조치다.
제로 트러스트가 부상한 것은 생성형 AI, 6G, 클라우드, 사물인터넷(IoT) 확산으로 해킹 통로가 다양해져서다. 원격 근무와 관련이 없던 제조업에서도 디지털전환(DX) 도입이 속도를 내면서 제로 트러스트 필요성이 산업계 전반으로 확산하는 모양새다.
하지만 기업들 사이에선 제로 트러스트가 여전히 낯선 개념이다. 유진호 상명대 교수가 한국인터넷진흥원(KISA)의 ‘제로 트러스트 보안모델 실증 지원사업’ 성과공유회에서 공개한 ‘국내 제로 트러스트 관련 산업 실태 조사’ 결과에 따르면 국내 정보보호 공시 대상 기업 200개 중 6.5%만 ‘제로 트러스트에 대해 알고 있다’고 답했다. ‘전혀 모른다’는 62.5%, ‘들어봤지만 자세히 알지 못한다’는 31%로 집계됐다.
‘제로 트러스트를 적용하고 있다’는 응답은 더 적어 2.5%에 그쳤다. ‘도입 계획이 없다’는 응답이 77%에 달했고, 17.5%는 ‘도입 의사는 있지만 어떻게 해야 하는지 모른다’는 반응을 보였다. 제로 트러스트 도입에 적극적이지 않은 이유로 62%가 ‘정보 부족’을 꼽았다. ‘보안 강화 필요성을 못 느껴서’(23.6%), ‘임원진의 보안 의식 부족’(14.7%), ‘도입 비용 부담’(4.6%), ‘도입 시 업무상 불편성 증가’(2.9%) 등이 뒤를 이었다.
제로 트러스트 도입을 주저하는 사이 해킹은 증가하는 추세다. KISA에 따르면 사이버 침해 신고 건수는 2020년 630건, 2021년 640건, 2022년 1142건, 지난해 1227건으로 2년 만에 두 배가량 불어났다. 이 중 중소기업 피해 건수가 81%에 달했다.
중소기업이 타깃이 되는 것은 보안 체계가 허술해서다. 정보보호 투자 여력이 부족하다 보니 해킹에 대한 대비가 제대로 돼 있지 않은 경우가 많다는 설명이다. 한국정보보호산업협회의 ‘2023년 정보보호 실태조사’에 따르면 250인 이상 기업 70.6%가 정보보호 조직을 보유 중이다. 이 비율은 회사의 규모가 작아질수록 내려간다. 50~249인 기업에서 49.6%, 50인 미만 기업에서 27.4%만 전담 조직을 운영 중이다.
한국은 과학기술정보통신부가 2022년 10월 ‘제로 트러스트·공급망 보안 포럼’을 발족했고, 지난해엔 KISA와 함께 ‘제로 트러스트 가이드라인 1.0’을, 올해엔 ‘2.0’을 배포할 계획이다. 하지만 여전히 관심이 적다는 게 업계의 중론이다. 보안업계 관계자는 “정부 차원에서 홍보를 강화해야 한다”며 “제로 트러스트 교육 프로그램을 만들고, 수료하는 기업에 지원을 늘리는 정책을 고려해야 할 때”라고 말했다.
제로 트러스트가 미래 먹거리가 될 것이라는 관측도 나온다. 시장조사기관 마켓앤드마켓에 따르면 제로 트러스트 시장은 2020년 196억달러에서 2026년 516억달러 규모로 성장할 전망이다.
류제명 과기정통부 네트워크정책실장은 “산학연과 협력해 제로 트러스트, AI 보안 등 차세대 보안 표준화를 국제 사회에서 주도할 수 있도록 지원하겠다”고 말했다.
강경주 기자 qurasoha@hankyung.com
○“입구 잘 지키는 것으론 부족”
8일 보안업계에 따르면 생성형 인공지능(AI) 시대가 본격화한 지난해부터 해킹이 기승을 부리자, 이전과는 다른 차원의 보안 모델을 도입해야 한다는 주장이 힘을 받고 있다. 대안으로 제시된 것이 제로 트러스트다.제로 트러스트는 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다. 용어 그대로 ‘아무도 믿지 말라’는 원칙이 기본 전제다. ‘입구만 잘 지키는’ 기존의 보안 체계와 달리 제로 트러스트는 서버, 컴퓨팅, 데이터 등을 각각 분리해 보호하기 때문에 특정 시스템이 뚫려도 다른 시스템은 지킬 수 있다. 신원이 확실해도 최소한의 접근 권한만 부여한다. 내부자와의 공조를 막기 위한 조치다.
제로 트러스트가 부상한 것은 생성형 AI, 6G, 클라우드, 사물인터넷(IoT) 확산으로 해킹 통로가 다양해져서다. 원격 근무와 관련이 없던 제조업에서도 디지털전환(DX) 도입이 속도를 내면서 제로 트러스트 필요성이 산업계 전반으로 확산하는 모양새다.
하지만 기업들 사이에선 제로 트러스트가 여전히 낯선 개념이다. 유진호 상명대 교수가 한국인터넷진흥원(KISA)의 ‘제로 트러스트 보안모델 실증 지원사업’ 성과공유회에서 공개한 ‘국내 제로 트러스트 관련 산업 실태 조사’ 결과에 따르면 국내 정보보호 공시 대상 기업 200개 중 6.5%만 ‘제로 트러스트에 대해 알고 있다’고 답했다. ‘전혀 모른다’는 62.5%, ‘들어봤지만 자세히 알지 못한다’는 31%로 집계됐다.
‘제로 트러스트를 적용하고 있다’는 응답은 더 적어 2.5%에 그쳤다. ‘도입 계획이 없다’는 응답이 77%에 달했고, 17.5%는 ‘도입 의사는 있지만 어떻게 해야 하는지 모른다’는 반응을 보였다. 제로 트러스트 도입에 적극적이지 않은 이유로 62%가 ‘정보 부족’을 꼽았다. ‘보안 강화 필요성을 못 느껴서’(23.6%), ‘임원진의 보안 의식 부족’(14.7%), ‘도입 비용 부담’(4.6%), ‘도입 시 업무상 불편성 증가’(2.9%) 등이 뒤를 이었다.
제로 트러스트 도입을 주저하는 사이 해킹은 증가하는 추세다. KISA에 따르면 사이버 침해 신고 건수는 2020년 630건, 2021년 640건, 2022년 1142건, 지난해 1227건으로 2년 만에 두 배가량 불어났다. 이 중 중소기업 피해 건수가 81%에 달했다.
중소기업이 타깃이 되는 것은 보안 체계가 허술해서다. 정보보호 투자 여력이 부족하다 보니 해킹에 대한 대비가 제대로 돼 있지 않은 경우가 많다는 설명이다. 한국정보보호산업협회의 ‘2023년 정보보호 실태조사’에 따르면 250인 이상 기업 70.6%가 정보보호 조직을 보유 중이다. 이 비율은 회사의 규모가 작아질수록 내려간다. 50~249인 기업에서 49.6%, 50인 미만 기업에서 27.4%만 전담 조직을 운영 중이다.
○제로 트러스트는 미래 먹거리
해외에선 제로 트러스트를 앞다퉈 도입하고 있다. 미국은 2019년 국립표준기술원(NIST)이 ‘제로 트러스트 아키텍처’를 공개하며 새로운 사이버 안보 가이드라인을 마련했다. 영국은 국가 사이버보안센터(NCSC)가 2021년 7월 ‘제로 트러스트 아키텍처 설계 원칙’을 제시했다. 일본은 2020년 6월 정부 정보시스템에서 ‘제로 트러스트 적용을 위한 사고방식’을 도입했다. 중국은 2022년 6월 ‘제로 트러스트 참조 아키텍처’ 초안을 발표했다.한국은 과학기술정보통신부가 2022년 10월 ‘제로 트러스트·공급망 보안 포럼’을 발족했고, 지난해엔 KISA와 함께 ‘제로 트러스트 가이드라인 1.0’을, 올해엔 ‘2.0’을 배포할 계획이다. 하지만 여전히 관심이 적다는 게 업계의 중론이다. 보안업계 관계자는 “정부 차원에서 홍보를 강화해야 한다”며 “제로 트러스트 교육 프로그램을 만들고, 수료하는 기업에 지원을 늘리는 정책을 고려해야 할 때”라고 말했다.
제로 트러스트가 미래 먹거리가 될 것이라는 관측도 나온다. 시장조사기관 마켓앤드마켓에 따르면 제로 트러스트 시장은 2020년 196억달러에서 2026년 516억달러 규모로 성장할 전망이다.
류제명 과기정통부 네트워크정책실장은 “산학연과 협력해 제로 트러스트, AI 보안 등 차세대 보안 표준화를 국제 사회에서 주도할 수 있도록 지원하겠다”고 말했다.
강경주 기자 qurasoha@hankyung.com
관련뉴스