[단독] "문제는 사람, 아무도 믿지 마!"…국가 사이버보안 전략 '대전환'

[MT리포트-사이버 전쟁, ON AIR]①정부, '제로 트러스트' 정책도입 착수

/사진=이미지투데이

정부가 새로운 국가 차원의 사이버 보안 전략으로 '제로 트러스트(Zero Trust)'를 채택할 전망이다. 기존에는 외부 공격을 차단하는 '경계형 보안'에 주력했다면, 앞으로는 네트워크 전 단계의 모든 사용자를 인증·감시·제어하는 동시에 침해 예측 및 암호화로 대응하도록 사이버 보안의 정책 패러다임을 바꾸겠다는 전략이다. 조 바이든 미국 대통령도 제로 트러스트 보안 전략수립을 지시해 지난 1월 표준모델을 발표한 바 있다.

과학기술정보통신부 고위 관계자는 25일 "팬데믹에 따른 초연결 사회가 급속하게 도래하면서, 사이버 보안의 글로벌 트렌드 역시 '초안전 환경' 구축을 위한 제로 트러스트로 급속하게 전환되고 있다"며 "국가 차원의 '제로 트러스트' 정책 도입을 목표로 본격적인 사전 연구에 착수했다"고 밝혔다.

제로 트러스트는 '아무도 신뢰하지 않는다'는 전제의 사이버 보안 모델로, 사이버 보안 전문가이자 포레스터 리서치 수석연구원인 존 킨더버그(John Kindervag)가 2010년 제시한 개념이다. 전체 시스템에서 안전한 영역 또는 이용자는 전무하다는 것을 원칙으로 내부 이용자도 인증절차와 신원확인 등 검증을 거치며, 네트워크 접속 환경에 따른 정보 접근 범위도 차등·최소화한다. 코로나19 팬데믹으로 재택근무가 일상화하고, 기존 사이버 보안책이 한계에 부딪히면서 한층 주목받고 있다.

최근 삼성전자의 반도체 기술 유출 시도 사건은 제로 트러스트의 필요성을 방증하는 사례다. 삼성전자는 퇴사를 앞둔 한 직원이 재택근무 중 보안서버에 저장돼 있던 반도체 관련 대외비 자료 수백장을 열람한 뒤 스마트폰으로 촬영, 외부로 유출하려던 정황을 적발했다. 원격업무시스템(RBS)은 캡쳐가 불가능하고, 사업장 내에선 스마트폰 촬영이 금지된다. 적어도 보안 기술 측면에선 물샐 틈이 없었다. 그러나 재택근무라는 특수한 환경, 직원의 일탈이라는 두 가지 조건이 결합해 사건이 벌어졌다.

결국 현재 사이버 보안 패러다임의 가장 큰 약점은 '기술의 취약성' 보다는 디지털 전환의 속도를 좇지 못한 낙후된 보안 정책, 내부자에 대한 무비판적 신뢰라는 것. 실제로 미국 대형 통신사 버라이즌의 '2021 데이터 침해 사고 조사 보고서'에 따르면, 사고의 85%는 인적 요인과 관련이 있는 것으로 조사됐다. 보안기업 윈스의 진철규 연구개발본부 분석팀장은 "보안의 가장 취약한 지점은 항상 기술이 아닌 사람"이라고 지적했다.

사이버 보안 '최강국'인 미국에서는 이미 미국표준기술연구소(NIST)가 '제로 트러스트 네트워크 액세스'(ZTNA) 표준 모델을 제시했고, 조 바이든 대통령은 오는 2024년 말까지 ZTNA 전략 기준과 목표를 완료하도록 지난해 명령했다. 민간에서도 MS(마이크로소프트)와 시스코, IBM 등 굴지의 ICT(정보통신기술) 기업들이 제품에 제로 트러스트 기능을 업데이트 하고 있는 상황이다.

이에 따라 우리 정부도 NIST 표준을 참고로 제로 트러스트 도입 시 국내 공공 및 민간부문의 수용 가능성 현황, 개선이 필요한 과제 등을 점검할 것으로 예상된다. 아울러 차기 정부의 '디지털 플랫폼 정부' 공약이 AI(인공지능), 빅데이터 기반의 국정운영 시스템으로 행정 효율화를 꾀하는 모델인 만큼, 이를 뒷받침 할 보안 전략으로 제로 트러스트의 효용성을 타진할 것으로 보인다. 정부 관계자는 "올 하반기쯤 연구의 성과물을 내놓고, 이를 바탕으로 정책 개발에 나서게 될 것"이라고 말했다.