*이 글은 전자신문(25년 4월 8일 자)에 게재된 칼럼의 내용입니다.
막대한 보안 투자에도 불구하고 최근 기업·기관들의 사이버 사고는 여전하다. 공격자들은 피싱 등의 비교적 단순한 공격을 지속적으로 활용하고 있는데, 침투만 성공한다면 내부로의 확산은 매우 쉽기 때문이다. 이러한 문제를 해결하기 위해 국내외에서 정부 차원의 권고와 활동이 이어지고 있다.
미국 국립표준기술연구소(NIST)는 기존의 네트워크 경계 중심이 아닌 리소스 단위로 세밀하게 경계를 설정하는 제로 트러스트 아키텍처(NIST SP 800-207)를 권고한 바 있다. 우리나라에서는 과학기술정보통신부가 2023년 7월 '제로 트러스트 가이드라인 1.0'을 발표하면서 정부의 주도로 다양한 제로 트러스트 실증 사업을 진행 중이다.
제로 트러스트는 모든 접근을 불신하고 명시적 확인 이후에 접근을 허용하며, 중앙에서 일관된 정책을 관리하고, 사용자와 기기에 대한 강력한 인증을 수행하는 것을 원칙으로 한다. 또 최소 권한 원칙에 따라 세밀하게 리소스를 제어하고, 논리적 경계를 통한 세션 단위 접근 통제 및 지속적인 모니터링을 통해 신뢰 상태를 검증해야 한다.
제로 트러스트 아키텍처를 기업에 완벽히 적용하기 위해선 단일 벤더의 솔루션만으론 한계가 분명하다. 통합계정·권한관리(IAM:Identity and Access Management), 보안액세스서비스에지(SASE:Secure Access Service Edge), 제로 트러스트 네트워크 액세스(ZTNA:Zero Trust Network Access), 보안정보·이벤트관리(SIEM:Security Information and Event Management), 엔드포인트보안플랫폼(EPP:Endpoint Protection Platform) 등 다양한 솔루션이 상호 연동돼야 한다.
예를 들어 EPP나 SASE가 SIEM에 보안 로그를 제공하면, SIEM이 단말기나 계정의 위험 수준을 평가하고, 이를 다시 IAM에 전달하여 즉각 정책에 반영하는 구조가 필요하다.
상호 운영성은 인공지능(AI) 전환 시대에서 더욱 중요하다. AI 중심의 보안 운영 환경에선 사람 간 협력보다는 기계 간 인터페이스, 즉 응용 프로그래밍 인터페이스(API) 연동과 데이터 표준화가 핵심이 된다. 챗GPT와 딥시크 등 오픈소스 AI 모델의 성능이 빠르게 향상되면서, 앞으로 1~2년 내 사람의 개입 없이 AI 에이전트가 위협 탐지부터 대응까지 수행하는 시대가 현실화할 것이며, 이에 대응하기 위해 벤더 간 협력은 필수다.
그동안 SIEM 기업으로 활동하면서 상호 운영성 부분에서 국내 시장의 한계를 절감했다. 우리나라 보안 기업들이 API와 로그 명세 공개 등을 통해 상호 운영성을 제공한다면, 고객은 이미 구축해 놓은 다양한 보안 솔루션을 충분히 활용할 수 있으며 제로 트러스트 도입의 어려움 또한 줄일 수 있다. 나아가 토종 기업 간의 협업으로 글로벌 대기업의 포괄적인 확장형탐지·대응(XDR:Extended Detection and Response) 솔루션과 경쟁할 수 있는 대응력을 확보하게 될 것이다.
현재 한국 정부와 보안기업들은 'K시큐리티 얼라이언스'를 활용해 상호 운영성 개선을 위해 노력하고 있다. 보안 전문기업들은 시장 경쟁이라는 단순한 개념을 초월해 서로의 담장을 낮추고 상호 운영성 강화에 적극 나서야 한다. 이제는 제로 트러스트 시대 생존을 위한 실질적인 협력과 변화에 본격적으로 시동을 걸 때다.
