한국제로트러스트위원회, 디플정위에서 언급한 ‘제로트러트스 보안’ 다루는 공적 협의체
제로트러스트 보안 모델, 국제표준 준수해야...국내외 솔루션 호환성 높여야 발전할 수 있어
배환국 의장, “코제타 활동 통해 업계가 함께 발전하고 실질적인 성과 낼 수 있도록 할 것”

[보안뉴스 김영명 기자] 코제타(KOrea ZEro Trust Alliance, KOZETA)는 대통령 직속 디지털플랫폼정부위원회가 말한 두 개의 보안 축 중 ‘제로트러스트 보안’을 다루는 공적 협의체다. 코제타는 지난해 한국인터넷진흥원(KISA) 산하 포럼으로 설립됐으며, 현재는 한국정보보호산업협회(KISIA)로 이관됐다. 소프트캠프 배환국 대표가 초대 조영철(KISIA 회장, 파이오링크 대표) 의장에 이어 2대 의장을 맡고 있다.


▲한국제로트러스트위원회(KOZETA) 배환국 2대 의장이 인터뷰를 하고 있다[사진=보안뉴스]

현재 국내에서 제로트러스트 관련 단체는 코제타 외에도 제로트러스트·공급망 보안 포럼, 한국제로트러스트보안협회, 제티아(ZETIA) 등이 있으며, 각 단체의 성격에 맞게 활동을 이어나가고 있다.

배환국 의장은 “코제타는 디플정위에서 언급한 ‘제로트러스트 보안’ 이슈에 대응하기 위해 설립된 만큼 정부와 정책을 협의하고, 회원사 의견을 정부에 건의하는 공식 채널로서의 역할을 수행하고 있다”고 말했다.

배 의장은 “제로트러스트 보안의 본 고장인 미국에서는 사용자, 디바이스, 네트워크, 워크로드, 데이터, 가시성 및 분석, 자동화 및 오케스트레이션 등 크게 7개 분야로 구분되지만, 이를 한 회사에서 모두 제공하기는 어렵다”고 말했다. 이어 “글로벌 기업은 M&A로 사업영역을 확장해 커버한다”며 “코제타는 우리 기업간 코워크(Co-Work)로 시너지를 내도록 이끄는 역할을 할 것”이라고 말했다.

사이버 보안이 곧 국가안보인 시대, 제로트러스트 보안의 필요성
제로트러스트 보안 모델 도입은 미국 바이든 대통령의 행정서명에서 시작됐다. 이와 관련 배환국 의장은 “미국 행정부가 행정서명을 통해 시작한 만큼 제로트러스트 보안은 국가 주도의 보안 정책이 됐다”며 “콜로니얼 파이프라인 랜섬웨어 사건처럼 IT, 사이버 환경이 사회에 영향을 끼치고 국가기간 산업을 흔드는 등 안보와 직결되기 때문”이라고 말했다.

미국이 제로트러스트 보안을 ‘여정’으로 표현하듯 제로트러스트 보안이 단시간에 도입 가능한 것은 아니다. 배 의장은 “성숙도 모델을 만들고, 기본-어드밴스드-옵티마이즈드 등 단계별로 수준을 높이는 것”이라며 “목적 등을 고려해 적합한 솔루션을 사용해야 한다”고 말했다.

제로트러스트 보안의 도입은 원격접속·원격근무와 맥을 같이 한다. 원격근무로 사이버 공간을 통해 사라진 경계의 허점이 바로 제로트러스트 적용 대상이다. 클라우드 환경도 소프트웨어가 중심이 되고 새로운 영역에 대한 보안의 필요성에 따라 제로트러스트 보안이 시작됐다.

배환국 의장은 “제로트러스트는 소프트웨어 디파인드 페리메터(Software-Defined Perimeter, SDP)로, 경계가 없어진 게 아니라 자유롭게 정의된다는데 있다”고 말했다. 그 다음으로 배 의장이 강조한 건 ‘네버 트러스트 올웨이즈 베리파이(Never Trust always Verify)’다. ‘아예 안 믿는다(Non Trust)’가 아니라 0~100의 점수 중 0에 해당하는 ‘제로(0) 트러스트’를 말한다는 것. 구글 로그인은 1차, 2차, 3차 인증으로 그때 그때 자격증명이 필요하다. 배 의장은 “상황별로 인증수단을 관리한다는 ICAM(Identity, Credential, and Access Management Policy)이 떠오르고 있다. 위치 기반으로 활동하는 공간에서는 무인증 통과하지만 새로운 지역에서는 N차 인증을 더하는 것, 이게 바로 제로트러스트 보안인증, 조건부 적응적 정책의 핵심”이라고 설명했다.

올해 제로트러스트 보안 모델, 실증사업 진행한다
코제타는 현재 56개 회원사가 합류한 가운데 내부 컨소시엄을 통해 실증사업과 함께 다양한 제로트러스트 보안 모델도 구축 중이다. 지난해에는 제로트러스트 보안 모델 적용 실태조사를 통해 통계를 작성하고 콘퍼런스를 개최했으며, ‘제로트러스트 보안 가이드라인’ 발표에도 일조했다. 올해 상반기에는 실증사례를 만들고, 하반기에는 실증사업을 진행할 예정이다.

지난해 하반기부터 국가정보원은 공공 망분리 제도 개선에 착수했다. 배 의장은 “망분리도 중요하지만, 클라우드 기반 시대에 생성형 AI와 협업 툴도 나오면서 제로트러스트 보안 정책은 더욱 중요해질 것”이라고 말했다. 이어 “VPN 접속 규정을 유연하게 하는 게 제로트러스트 활성화에 도움될 것”이라고 덧붙였다.

코제타는 크게 실증사업·정책제도·상호운용 분과로 구성된다. 실증사업 분과는 과기정통부 성과물을 공유하고 선진화된 제로트러스트 보안모델을 논의하고 있다. 정책제도 분과는 제로트러스트 정부 정책을 공유하고, 업계 의견을 제안한다. 상호운용 분과는 정보보호 솔루션 및 서비스 간 상호운용성을 확보하고, 산업과의 연동 기반을 마련한다.

배환국 의장은 “제로트러스트 보안 모델은 국제표준 프로토콜을 준수하며 발전하는게 중요하다”며 “폐쇄성이 짙으면 보안성도 저해되고 세계 무대에서도 인정받기 힘들 것”이라고 설명했다. 특히 “정책적으로 지정 제품을 해제하고, 원점에서 보안 목표를 제시해야 한다”며 제도 개선의 필요성도 언급했다.

제로트러스트 보안, 체험의 장 마련이 중요
배환국 의장은 코제타 의장을 맡으면서 하나의 중요한 목표를 설정했다. 회원들이 합심해 제로트러스트 보안을 실증할 수 있는 랩(LAB, 연구실)을 만들어 다양한 제품을 체험하도록 하는 것이다. 미국은 국가 산하기관에서 랩을 만들었고, 이 랩에서 보안 기업들이 관련 솔루션을 전문가 앞에서 프리젠테이션하고 이를 유튜브에 공유해 소비자들의 선택에 도움을 준다는 것이다.

배 의장은 “최근에는 ‘POC(Proof Of Concept, 개념증명)’를 통해 입증하는 걸 중요시한다”며 “코제타에서는 랩을 마련해 다양한 제로트러스트 보안 솔루션을 한 자리에 소개하고, 데모 발표와 시연을 하는 것을 회의 안건으로 상정할 것”이라고 설명했다.

마지막으로 배환국 의장은 “코제타 의장을 맡으면서 가장 중요하게 생각하는 것은 모든 업계가 함께 발전할 수 있도록 노력하는 것, 그리고 실효성 있는 실질적인 성과를 내는 것”이라고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>