배환국 소프트캠프 대표 / 사진제공=소프트캠프
정보보안 전문기업 소프트캠프 (1,400원 ▲41 +3.02%)를 이끌고 있는 배환국 대표의 얘기다. 지난해부터 정부·학계 및 공공기관을 중심으로 '제로트러스트'라는 보안 패러다임이 주목을 받아왔지만 정작 제로트러스트 시스템으로의 전환을 완료했다는 곳은 눈에 잘 띄지 않는다. 으레 복잡하고 어려운 목표라는 오해 때문이라는 게 배 대표의 설명이다.
배 대표에 따르면 NIST가 구상한 제로트러스트 아키텍처는 '이용자'(공격자), 보호 대상인 기업의 '정보자원', 그리고 이용자와 정보자원간 정보교류를 허용·거부할지를 판단·실행하는 '정책 결정·집행 시스템'으로 나뉜다. 이 정책 결정·집행 기능을 이용자 단말기 및 기업의 IT시스템, 정보자원 등에 어떻게 설치·운용할지에 따라 또 다시 여러 방식으로 나뉜다. 간단히 설명하면 이용자-정보자원 사이의 각종 시스템·단말기에 얼마나 많은 검증 포인트를 설치하는지의 차이가 있다.
소프트캠프의 솔루션은 이 중 RBI와 IAP를 혼용한 방식으로 분류된다. 이용자와 정보자원 사이에 격리된 웹 브라우징 시스템을 둔다. 이용자가 직접 정보자원에 접촉하지 않고 웹 브라우징 스트리밍 방식으로 정보를 '열람'하는 방식이다. 이용자가 정보자원을 감염시킬 가능성도, 반대로 이미 오염된 정보자원이 이용자를 감염시킬 가능성도 이 중간 웹 브라우징 시스템에 의해 차단된다. 이 중간 시스템에서 기업 정보자원으로 통신이 이어질 때 신원인증 시스템을 두는 방식이다.
배 대표는 "RBI와 IAP 방식을 혼용한 '실드게이트'는 시스템 전부를 건드리지 않고도 제로트러스트 구현이 가능하다"며 "기존의 네트워크와 시스템 전부를 건드리는 데 부담을 느꼈던 국내 한 대규모 공공기관이나 대형 제조사 등이 우리 솔루션으로 PoC(기술검증)를 계획한 것도 쉽고 간편하다는 데 매력을 느꼈기 때문"이라고 했다.
이 시각 인기 뉴스
한편 소프트캠프는 올 한 해 과학기술정보통신부, KISA(한국인터넷진흥원) 주도로 진행된 '제로트러스트 보안 실증사업'에 SGA솔루션즈, 지니언스, 에스지엔 등과 함께 컨소시엄을 구성해 참여했다. 넷마블, NHN클라우드, 예스티, 부동산114 등을 대상으로 진행한 제로트러스트 실증사업의 성과는 내달 공개된다. 배 대표는 "내년에는 좀 더 다양한 방식의 제로트러스트 기술들이 소개될 것"이라며 "기업·기관 고객들도 자신의 상황에 맞는 제로트러스트 솔루션을 찾아서 보안 시스템을 제고해야 할 것"이라고 했다.