해킹, 산업스파이 ⋯ 사이버보안 속 빈틈, 제로 트러스트로 메운다

2025-03-02     추수연·최수현 기자

신뢰 없애고 개별 방화벽 구축

복잡한 개념 탓에 구현 어려워

업계 내 협력 필수로 진행해야

 

  “절대 신뢰하지 말고, 항상 검증하라” 

  제로 트러스트(Zero Trust) 보안의 핵심 개념이다. 제로 트러스트는 네트워크 내 사용자를 비롯한 단말, 애플리케이션 등 업무 처리에 관한 모든 것을 신뢰하지 않는다는 전제 아래 자원별 보안 솔루션을 구축해 보안 성숙도를 높인 기술이다. 한국인터넷진흥원(KISA)이 선정한 2025년 사이버보안 10대 이슈 중 하나인 제로 트러스트는 디지털 환경의 다변화와 해킹 기술의 발전 속 차세대 보안 모델로 주목받고 있다. 그러나 국가 주도의 중앙 컨트롤타워 부재와 보안 기술 중요성에 대한 민간의 인식 부족으로 난항 중이다.

  개별 보안 솔루션 구축해 보안성 높여

  제로 트러스트 보안 개념은 2010년 사이버보안 전문가 존 킨더버그(John Kindervag)가 ‘신뢰가 보안의 취약점’이라는 관점을 제안하며 관심을 받기 시작했다. 기존 보안 모델은 기업 내부를 신뢰할 것을 전제하고 외부 경계망에만 보안 솔루션을 구축했지만 산업기술 유출이 지속되며 내부자를 신뢰할 수 없게 됐다. 전 세계적으로 산업기술 유출은 큰 골칫거리다. 2022년 미국 제너럴 일렉트릭(GE) 항공기 엔진 기술과 2023년 대만 반도체 제조업체 TSMC 기술이 유출됐을 뿐 아니라 국내에서도 기술 유출 시도가 늘고 있다. 경찰청 국가수사본부에 따르면 지난해 산업기술 해외 유출은 25건, 그중에서도 국가핵심기술 해외 유출은 10건을 기록했다. 이석준(가천대 스마트보안전공) 교수는 “기존 경계 기반 보안은 내부자가 한 번 신뢰를 받으면 모든 정보에 다 접근할 수 있어 보안이 허술했다”며 “제로 트러스트 보안은 내부에 숨은 적을 경계하기 위해 고안된 개념”이라고 설명했다. 

  제로 트러스트 보안은 자원별로 다른 보안 솔루션을 구축해 외부에서 위협을 가해도 자원끼리 위협이 전파되는 것을 방지한다. 기존 보안 모델에선 외부 경계망만 뚫으면 모든 자원에 접근할 수 있었지만, 제로 트러스트 보안에선 자원별로도 보안 솔루션을 뚫어야 하기에 공격 범위를 크게 줄일 수 있다. 이석준 교수는 “제로 트러스트 보안은 이미 보안 위협을 받았을 수도 있다고 가정한다”며 “제로 트러스트 보안은 절대 뚫리지 않는 보안 기술이 아닌 공격 당하는 범위를 좁히는 효과를 주는 기술”이라고 설명했다. 

 

  민관 협력으로 발전하는 사이버 안보

  국내에서도 제로 트러스트 보안을 주목하고 있다. 과학기술정보통신부(이하 ‘과기정통부’)는 2023년 7월 제로 트러스트 가이드라인 1.0, 이듬해 12월 제로 트러스트 가이드라인 2.0을 발표했다. 국가정보원도 지난 1월 제로 트러스트 보안을 활용한 국가망보안체계를 발표했다. 박정수(강남대 소프트웨어전공) 교수는 “국내에 제로 트러스트 보안 개념이 늦게 도입된 것을 감안해도 한국의 제로 트러스트 보안 논의는 꽤 활발한 편”이라고 평가했다.

  과기정통부는 정부, 공공기관, 민간 기업이 제로 트러스트 보안을 구축해 운영할 수 있도록 정보보호 업계와의 협력 사업을 주선하고 있다. 지난해 과기정통부가 시행한 제로 트러스트 시범사업은 정부·공공 및 민간 기업에 적용 가능한 제로 트러스트 보안 모델을 만드는 과제를 수행한 국내 보안 기업에게 각종 혜택을 부여하는 사업이다. 제로 트러스트 시범사업 참가사인 지니언스는 자체 개발한 보안 모델을 토대로 여러 국내 기업과 판매 계약을 체결했으며, 시범사업의 수요기업인 KB국민은행도 내부적으로 제로 트러스트 성숙도를 높이기 위해 투자하고 있다.

  하지만 국내엔 제로 트러스트 보안 도입을 책임지는 전담 부서가 존재하지 않아 체계적인 기술 발전이 어려운 상황이다. 제로 트러스트 선도국인 미국은 CISA(사이버보안 및 인프라 보안국) 아래 제로 트러스트만 담당하는 부서(ZTIP)를 따로 두고 있지만 국내에선 제로 트러스트 기술에 대한 인식도가 낮으며, 필요성도 경시돼 전담 부서는 물론 담당 기관조차 제 업무를 해내지 못하고 있다. 제로 트러스트 가이드라인 2.0에 따르면 국내 수요기업의 62.5%는 ‘제로 트러스트라는 용어를 모른다’, 31%는 ‘용어는 들어봤으나 자세히 모른다’고 응답했다.

  제로 트러스트 보안이 국내에 제대로 정착하려면 정부 산하 전담팀을 만들거나 정부 주도의 학술적 연구 등이 진행돼야 하지만, 국내 상황은 여전히 기술 선도국을 따라가지 못한다. 이석준 교수는 “여러 협의체와 기관에서 제로 트러스트 보안 연구를 진행하고 있지만, 정부에서 제로 트러스트 보안을 다루는 기관을 만들어야 한다”고 주장했다. 박정수 교수는 “보안 패러다임 변화에 국제 경쟁력을 갖추기 위해선 전담 팀을 두는 게 급선무”라고 말했다.

 

  기업 맞춤형 기술 개발이 관건

  제로 트러스트 보안 기술 구현이 어려운 이유론 업무 효율성을 함께 구현하기 어렵단 점이 꼽힌다. 제로 트러스트 보안은 개별 사용자 및 기기의 모든 접근 요청을 인증하고 권한을 부여하기에 구현 과정이 복잡하지만, 동시에 업무 효율성은 해치지 않도록 간편한 인증 방식을 개발해야 하기 때문이다. 이화영 사이버안보연구소 부소장은 “고객과 임직원의 개인정보, 거래정보, 도면, 기술자료 등 영업비밀을 지키면서 최신 트렌드를 빠르게 적용해 업무 생산성을 향상하는 데 초점을 둬야 한다”고 강조했다. 

  하지만 기술보다 시장이 먼저 활성화되며 기업들이 협업해 기술을 개발하기보단 경쟁에 힘쓰는 추세다. 국내 사이버보안 시장 규모는 빠르게 성장하고 있다. ‘2025 보안 시장 백서’를 살펴보면 2023년 국내 사이버보안 시장 규모는 전년도보다 12.5% 증가한 2조6502억 원이다. 박정수 교수는 “지금은 빠른 시장 선점보다 보안 기업 간 협업을 통해 학술적 연구가 더 필요한 시기”라고 설명했다. 엑스게이트 관계자는 “엑스게이트의 주력 기술인 *방화벽으로 구체적인 성과를 내기 위해 AI나 VPN에 특화된 기업과 컨소시엄을 준비하는 중”이라고 말했다.

  각 조직의 특성에 맞는 제로 트러스트 기술이 무엇인지 평가할 수단도 없다. 제로 트러스트 보안 수준은 기업의 규모, 내부 상황, 자산 정보량 등 여러 요소에 따라 천차만별로 적용되지만 정작 어떤 수준의 기술을 적용해야 할지는 알기 어렵다. 서광현 한국제로트러스트보안협회 상근부회장은 “사이버보안 시장에서 모든 업체가 제로 트러스트 보안 솔루션을 보유하고 있다고 홍보하지만 수요기업은 상황에 맞는 제로 트러스트 기술이 무엇인지 알지 못한다”고 말했다. 이석준 교수는 “제로 트러스트에 대한 성숙도 평가 지표를 마련하고 이를 평가해 줄 수 있는 기관이 필요하다”고 말했다.

 

  제로 트러스트, 선택이 아닌 필수

  보안에 투자하는 것을 비용이라 생각하는 기업의 인식도 걸림돌이다. 제로 트러스트 가이드라인 2.0에 따르면 국내 수요기업의 77%는 ‘제로 트러스트 보안 도입 계획이 전혀 없다’고 답했으며, 이 중 23.6%는 ‘보안 강화의 필요성을 못 느낀다’고 응답했다. 엑스게이트 관계자는 “국내 기업들은 최소한의 보안 수준만 충족하고 그 이상의 투자는 낭비로 인식하는 분위기가 존재한다”고 설명했다.

  전문가들은 기술 발전에 따라 제로 트러스트 보안으로의 패러다임 전환은 불가피하다고 입을 모은다. 이화영 부소장은 “사이버 전쟁은 이미 항시적으로 진행 중”이라며, “최근엔 정치·군사적 목적뿐 아니라 경제적 이익을 목적으로 하는 해킹 시도가 많아져 사이버 안보가 중요해지고 있다”고 말했다. 엑스게이트 관계자는 “최근 사이버 공격 동향은 집중화된 정보 자산 한 곳의 타깃형 공격이 아니라 네트워크 전반과 연결된 개인으로까지 치밀하게 침투하고 있다”며 “진화하는 사이버 위협에 대응하기 위해선 차세대 방화벽, **WAF, ***UTM 등 여러 솔루션을 조합해 사용해야 한다”고 설명했다.

  결국 기술 혁신의 현장에 있는 기업체에서 제로 트러스트로의 전환 중요성을 인식하는 것이 선행돼야만 추가적인 정책 연구를 진행할 수 있다. 박춘식 전 국가보안기술연구소장은 “제로 트러스트가 신기루에 그치지 않으려면 보안 수요측 경영자와 보안 담당자들의 제로 트러스트 인식 제고가 필요하다”고 말했다. 이석준 교수는 “민간 영역에서 제로 트러스트 보안으로의 전환을 호의적으로 받아들일 수 있을 만한 당근책들이 제시돼야 한다”고 전했다.

 

*방화벽: 네트워크 보안을 위해 네트워크 트래픽을 모니터링하고 제어하는 장치.

**WAF(Web Application Firewall) : 웹 애플리케이션으로 들어오는 악성 트래픽 또는 앱에서 나가는 무단 데이터를 차단해 일반적인 공격으로부터 웹 애플리케이션을 보호하는 보안 솔루션.

***UTM(Unified Threat Management) : 여러 가지 보안 기능 또는 서비스가 네트워크 내 단일 장치로 통합되는 것. 제로 트러스트는 UTM 시스템을 활용해 내·외부에서 발생할 수 있는 보안 위협에 대해 대응하는 모델임.

 

글 | 추수연·최수현 기자 press@

인포그래픽 | 주수연 기자 yoyeon@