제로트러스트, 기술 아니라 조직의 보안 사고방식과 운영 철학의 전환 요구
[보안뉴스= 윤아영 기술사/한국정보공학기술사회] 한동안 ‘제로트러스트’는 보안업계의 화두였다. 제로트러스트는 새로운 보안 아키텍처로 자리 잡는 것일까? 혹은 그저 한때 유행하다 사라지는 수많은 유행어 중 하나로 끝나는 것일까?
[자료: gettyimagesbank]
글로벌 시장의 분위기는 이미 제로트러스트 이외의 보안 전략은 생각하기 어려운 상태가 됐다. hughes, 2025 State of Secure Network Access에 따르면 현재 38%의 조직이 제로트러스트를 구현하고 있으며, 42%가 향후 1년 이내에 제로트러스트를 시행할 계획이라고 답한 조사 결과를 발표했다.
국내 상황은 어떨까? 제로트러스트에 대한 기업들의 인식이 아직은 세계적인 추세보다 미흡한 편이지만 한국제로트러스트위원회(KOZETA) 참여기업이 2023년 3월 8개 기업으로 시작해 6월에는 18개사, 2024년 4월 56개사, 2025년 3월 기준 67개사가 증가하며 지속적인 성장세를 보이고 있다. 또한 디지털플랫폼정부위원회에서 밝힌 디지털정부에서의 제로트러스트 도입 전망 등 정부 주도와 민간 협력을 통한 제로트러스트 확산의 가능성은 점차 커지고 있다.
[자료: 디지털플랫폼정부 실현계획, 디지털플랫폼정부위원회(23.4.14)]
이런 흐름으로 보아 제로트러스트는 더 이상 이상향의 신기루가 아닌, 실질적인 보안 전략으로 자리매김하고 있는 것이 분명해 보인다. 이제 방점은 조직의 제로트러스트의 도입 여부가 아닌 어떻게 효과적으로 도입하고 얼마나 성숙하게 운영할 것인가로 옮겨가고 있다.
제로트러스트를 효과적으로 도입하고 원활히 운영하고자 하는 수요는 나날이 증가하고 있다. 그러나 이제 막 시작하는 스타트업이 아닌 이상 경계형 보안을 기반으로 이미 구축된 기업 환경에서의 제로 트러스트 전환이 순탄치 않은 것이 현실이다.
가트너의 조사(Organizations Struggle with Zero Trust: Gartner)에 따르면 세계시장에서조차 대부분의 기업이 제로트러스트를 기업 구조에 일부분만 도입하여 제한적으로만 적용하는 사례가 많았다. 가트너 조사 결과에서 일반적으로 제로트러스트 전략의 범위는 조직의 모든 환경을 포함하지 않는다고 밝혔으며, 설문조사 응답자의 16%만이 제로트러스트 전략이 조직 환경의 75% 이상을 포함할 것이라고 답했고, 11%만이 10% 미만을 포함할 것이라고 답했다.
사이버리스크 얼라이언스의 ‘2024년 사이버 보안 구매자 정보 보고서(CBIR)’에 따르면 제로 트러스트를 기존 워크플로우에 통합할 때 발생하는 높은 비용과 복잡성으로 인해 경영진의 동의를 얻기 어려운 것으로 나타났다. 또한 지나치게 제한적이라는 인식으로 직원 권한 부여 및 조직 문화와 충돌을 일으킨다는 의견도 있었다.
보안이라는 사슬은 이를 구성하고 있는 수많은 고리 중 가장 약한 고리만큼만 안전하다고 했던가. 제로트러스트를 제한적으로 적용하게 된다면 특정 구역이나 애플리케이션의 보안은 강화되더라도 기업 전체의 보안 수준은 기대에 미치지 못할 수 있다. 또한 기업의 보안 역량과 인프라 수준에 따라 성숙도 격차를 유발하며, 이로 인해 제로트러스트 도입의 효과성을 확보하기 어렵다는 우려도 함께 제기되고 있다. 따라서 제로트러스트를 성공적으로 도입하기 위해서는 기존의 경계형 보안체계와 공존하는 방안을 모색하고, 단계적 전환을 위한 명확한 로드맵을 수립하는 것이 필요하다. 또한 이 과정에서 기업별로 상이한 보안 역량과 인프라 수준을 면밀히 진단하고, 그에 맞는 맞춤형 접근 방식을 채택하는 것이 중요하다.
[자료: 제로트러스트가이드라인 2.0, KISA, 2024.12.]
이와 관련 과학기술정보통신부와 한국인터넷진흥원은 ‘제로트러스트 가이드라인 2.0’을 통해 제로 트러스트 아키텍처의 도입과 수준 분석 방안을 구체화했다. 이 가이드라인은 성숙도를 ‘초기’, ‘기존’, ‘향상’, ‘최적화’의 4단계로 구분하고, 단계별로 필요한 기술적·관리적 역량을 명확히 제시한다. 특히 주목할 점은, 단순한 현황 진단에 그치지 않고 운영 과정에서의 지속적인 피드백을 기반으로 성숙도를 점진적으로 향상하는 반복적 개선 메커니즘을 핵심 요소로 포함하고 있다는 점이다. 이는 국내 기업들이 초기 진입 장벽을 넘어서 보다 현실적이고 실천 가능한 방식으로 제로트러스트를 도입·정착시켜 나갈 수 있도록 구체적인 실행 방향을 제시한다.
[자료: 제로트러스트가이드라인 2.0, KISA, 2024.12.]
미국 국립표준기술연구소(NIST)는 SP 800-207을 통해 제로트러스트 개념을 사실상 표준화했으며, SP 1800-35 Implementing a Zero Trust Architecture에서는 실제 IT 환경에서 제로트러스트 아키텍처를 구현하기 위한 실증 모델과 구체적인 기술 지침을 제시했다. 이 문서에서는 기존 IT 환경을 유지하면서 제로트러스트 구축을 위해 ‘사전 준비 단계(Preparation Phase)’, ‘기초 구축 단계(EIG Crawl Phase)’, ‘확장 단계(EIG Run Phase)’, ‘고도화 단계(SDP, Microsegmentation, SASE Phase)’로 점진적 접근 구축하는 방안을 제안했다.
[자료: NIST SP 1800-35 재구성]
사전 준비 단계(Preparation Phase)에서는 조직의 보안 성숙도 및 IT 인프라 상태를 진단하고, ZTA 도입을 위한 참조 아키텍처를 설계한다. 이와 함께 단계별 실행을 위한 로드맵을 수립하여 기술 도입과 정책 변경의 우선순위를 명확히 한다. 기초 구축 단계(EIG Crawl Phase)는 신원 및 접근 관리 체계를 정비하는 단계로, 통합 Identity Fabric을 구성하고, 동적 접근 제어 정책을 수립하며, 최소 권한 원칙(Principle of Least Privilege)을 기술적으로 구현한다.
이는 SP 1800-35 Vol. A에서 강조하는 핵심 구성요소 중 하나다. 확장 단계(EIG Run Phase)는 실시간 위협 탐지와 적응형 보안체계를 구현하는 단계로, 사용자 행동 분석(UEBA) 및 위협 인텔리전스 연동을 통해 정책 자동화 및 미세 조정 메커니즘을 도입한다. 이 과정은 SP 1800-35의 시나리오 기반 테스트 환경과 연계되어 실효성을 검증할 수 있다.
고도화 단계(SASE Phase)는 기존 네트워크 아키텍처를 ZTA 원칙에 맞게 재구성하는 단계로, SDP(Software-Defined Perimeter) 구현, Micro Segmentation 도입, SASE(Secure Access Service Edge) 통합 등을 통해 데이터와 사용자가 위치와 관계없이 일관된 보안정책을 적용할 수 있는 구조로 전환한다. 이 단계를 거쳐 진화된 네트워크 보호와 접근 제어를 강화해 최종적으로 고도화된 제로트러스트 아키텍처 구현을 목표로 하는 것이다.
제로트러스트 가이드라인 2.0과 NIST SP 1800-35는 모두 제로트러스트를 효과적으로 전환하려면 기업의 보안 역량 강화와 인프라 개선이 필수적이라고 강조한다. 또한, 단계적 접근을 통해 도입 부담을 낮추는 전략이 필요하다고 제안한다. 이는 제로트러스트 도입은 성숙도 단계에 맞춰 체계적이고 점진적으로 이루어져야 함을 시사한다.
개별적이고 사일로(silo)화된 보안 솔루션을 단편적으로 도입하는 것으로 끝내거나 명확한 목표와 범위를 설정하지 않고 접근할 경우, 도입에 대한 실질적인 효과를 거두기 어렵다. 제로 트러스트가 성공적으로 안착하기 위해서는 경영진의 장기적인 지원, 단계적 추진 계획 수립, 명확한 범위 설정, 그리고 지표 기반의 효과 측정을 통해 조직의 성숙도를 꾸준히 높여 나가는 것에 달린 것이다. 이런 흐름을 보면 제로트러스트의 성공은 기술 도입 그 자체보다는 조직이 얼마나 민첩하고 지속적으로 보안 성숙도 수준을 개선해 나가는 문화를 갖추는가에 달려 있을지도 모른다.
향후 몇 년간 제로트러스트는 단순한 보안 기술을 넘어 사이버 보안 전략의 기본 전제로 자리 잡을 가능성이 매우 크다. 물론 제로 트러스트가 모든 보안 문제를 해결하는 은탄환(Silver Bullet)은 아니다. 그러나 위협 환경이 점점 더 정교해지고, 클라우드 및 분산 자산 중심의 IT 환경으로 급속히 전환되는 이 시대에 ‘침해를 전제로 한 방어’라는 제로트러스트 철학은 더 이상 선택이 아닌 필수 전략이 되고 있다.
중요한 것은 기술 자체가 아니라, 이를 뒷받침할 수 있는 조직의 문화와 구조이다. 제로트러스트의 성공은 단편적인 솔루션 도입이나 일회성 프로젝트로는 결코 완성될 수 없다. 명확한 전략 수립, 단계적 이행 로드맵, 경영진의 지속적 후원, 그리고 조직 전반의 보안 성숙도를 끊임없이 끌어올리는 노력이 병행되어야 한다. 이러한 구조적 기반 위에서만 제로트러스트는 진정한 효과를 발휘하며, 기업의 디지털 자산을 안전하게 보호하는 핵심 아키텍처로 기능할 수 있다.
궁극적으로 제로트러스트는 기술이 아니라 조직의 보안 사고방식과 운영 철학의 전환을 요구한다. 그것이 곧, 단편적인 보안이 아닌 신뢰 가능한 디지털 환경, 즉 ‘트러스트 시대’로 나아가는 유일한 길이 될 것이다.
[글_ 윤아영 한국정보공학기술사회 기술사]
필자 소개_
- 한국정보공학기술사회 미래융합기술원 위원
- 정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원
- 15년간 보안솔루션 개발자로 현장을 지켜온 후, 새로운 도약을 위해 다음 도전을 준비하고 있다. 변화하는 사이버 보안 환경 속에서 기술과 사람을 연결하는 전문가로 성장하기 위해 끊임없이 고민하고 탐구 중이다.
[보안뉴스= 윤아영 기술사/한국정보공학기술사회] 한동안 ‘제로트러스트’는 보안업계의 화두였다. 제로트러스트는 새로운 보안 아키텍처로 자리 잡는 것일까? 혹은 그저 한때 유행하다 사라지는 수많은 유행어 중 하나로 끝나는 것일까?
[자료: gettyimagesbank]
글로벌 시장의 분위기는 이미 제로트러스트 이외의 보안 전략은 생각하기 어려운 상태가 됐다. hughes, 2025 State of Secure Network Access에 따르면 현재 38%의 조직이 제로트러스트를 구현하고 있으며, 42%가 향후 1년 이내에 제로트러스트를 시행할 계획이라고 답한 조사 결과를 발표했다.
국내 상황은 어떨까? 제로트러스트에 대한 기업들의 인식이 아직은 세계적인 추세보다 미흡한 편이지만 한국제로트러스트위원회(KOZETA) 참여기업이 2023년 3월 8개 기업으로 시작해 6월에는 18개사, 2024년 4월 56개사, 2025년 3월 기준 67개사가 증가하며 지속적인 성장세를 보이고 있다. 또한 디지털플랫폼정부위원회에서 밝힌 디지털정부에서의 제로트러스트 도입 전망 등 정부 주도와 민간 협력을 통한 제로트러스트 확산의 가능성은 점차 커지고 있다.
[자료: 디지털플랫폼정부 실현계획, 디지털플랫폼정부위원회(23.4.14)]
이런 흐름으로 보아 제로트러스트는 더 이상 이상향의 신기루가 아닌, 실질적인 보안 전략으로 자리매김하고 있는 것이 분명해 보인다. 이제 방점은 조직의 제로트러스트의 도입 여부가 아닌 어떻게 효과적으로 도입하고 얼마나 성숙하게 운영할 것인가로 옮겨가고 있다.
제로트러스트를 효과적으로 도입하고 원활히 운영하고자 하는 수요는 나날이 증가하고 있다. 그러나 이제 막 시작하는 스타트업이 아닌 이상 경계형 보안을 기반으로 이미 구축된 기업 환경에서의 제로 트러스트 전환이 순탄치 않은 것이 현실이다.
가트너의 조사(Organizations Struggle with Zero Trust: Gartner)에 따르면 세계시장에서조차 대부분의 기업이 제로트러스트를 기업 구조에 일부분만 도입하여 제한적으로만 적용하는 사례가 많았다. 가트너 조사 결과에서 일반적으로 제로트러스트 전략의 범위는 조직의 모든 환경을 포함하지 않는다고 밝혔으며, 설문조사 응답자의 16%만이 제로트러스트 전략이 조직 환경의 75% 이상을 포함할 것이라고 답했고, 11%만이 10% 미만을 포함할 것이라고 답했다.
사이버리스크 얼라이언스의 ‘2024년 사이버 보안 구매자 정보 보고서(CBIR)’에 따르면 제로 트러스트를 기존 워크플로우에 통합할 때 발생하는 높은 비용과 복잡성으로 인해 경영진의 동의를 얻기 어려운 것으로 나타났다. 또한 지나치게 제한적이라는 인식으로 직원 권한 부여 및 조직 문화와 충돌을 일으킨다는 의견도 있었다.
보안이라는 사슬은 이를 구성하고 있는 수많은 고리 중 가장 약한 고리만큼만 안전하다고 했던가. 제로트러스트를 제한적으로 적용하게 된다면 특정 구역이나 애플리케이션의 보안은 강화되더라도 기업 전체의 보안 수준은 기대에 미치지 못할 수 있다. 또한 기업의 보안 역량과 인프라 수준에 따라 성숙도 격차를 유발하며, 이로 인해 제로트러스트 도입의 효과성을 확보하기 어렵다는 우려도 함께 제기되고 있다. 따라서 제로트러스트를 성공적으로 도입하기 위해서는 기존의 경계형 보안체계와 공존하는 방안을 모색하고, 단계적 전환을 위한 명확한 로드맵을 수립하는 것이 필요하다. 또한 이 과정에서 기업별로 상이한 보안 역량과 인프라 수준을 면밀히 진단하고, 그에 맞는 맞춤형 접근 방식을 채택하는 것이 중요하다.
[자료: 제로트러스트가이드라인 2.0, KISA, 2024.12.]
이와 관련 과학기술정보통신부와 한국인터넷진흥원은 ‘제로트러스트 가이드라인 2.0’을 통해 제로 트러스트 아키텍처의 도입과 수준 분석 방안을 구체화했다. 이 가이드라인은 성숙도를 ‘초기’, ‘기존’, ‘향상’, ‘최적화’의 4단계로 구분하고, 단계별로 필요한 기술적·관리적 역량을 명확히 제시한다. 특히 주목할 점은, 단순한 현황 진단에 그치지 않고 운영 과정에서의 지속적인 피드백을 기반으로 성숙도를 점진적으로 향상하는 반복적 개선 메커니즘을 핵심 요소로 포함하고 있다는 점이다. 이는 국내 기업들이 초기 진입 장벽을 넘어서 보다 현실적이고 실천 가능한 방식으로 제로트러스트를 도입·정착시켜 나갈 수 있도록 구체적인 실행 방향을 제시한다.
[자료: 제로트러스트가이드라인 2.0, KISA, 2024.12.]
미국 국립표준기술연구소(NIST)는 SP 800-207을 통해 제로트러스트 개념을 사실상 표준화했으며, SP 1800-35 Implementing a Zero Trust Architecture에서는 실제 IT 환경에서 제로트러스트 아키텍처를 구현하기 위한 실증 모델과 구체적인 기술 지침을 제시했다. 이 문서에서는 기존 IT 환경을 유지하면서 제로트러스트 구축을 위해 ‘사전 준비 단계(Preparation Phase)’, ‘기초 구축 단계(EIG Crawl Phase)’, ‘확장 단계(EIG Run Phase)’, ‘고도화 단계(SDP, Microsegmentation, SASE Phase)’로 점진적 접근 구축하는 방안을 제안했다.
[자료: NIST SP 1800-35 재구성]
사전 준비 단계(Preparation Phase)에서는 조직의 보안 성숙도 및 IT 인프라 상태를 진단하고, ZTA 도입을 위한 참조 아키텍처를 설계한다. 이와 함께 단계별 실행을 위한 로드맵을 수립하여 기술 도입과 정책 변경의 우선순위를 명확히 한다. 기초 구축 단계(EIG Crawl Phase)는 신원 및 접근 관리 체계를 정비하는 단계로, 통합 Identity Fabric을 구성하고, 동적 접근 제어 정책을 수립하며, 최소 권한 원칙(Principle of Least Privilege)을 기술적으로 구현한다.
이는 SP 1800-35 Vol. A에서 강조하는 핵심 구성요소 중 하나다. 확장 단계(EIG Run Phase)는 실시간 위협 탐지와 적응형 보안체계를 구현하는 단계로, 사용자 행동 분석(UEBA) 및 위협 인텔리전스 연동을 통해 정책 자동화 및 미세 조정 메커니즘을 도입한다. 이 과정은 SP 1800-35의 시나리오 기반 테스트 환경과 연계되어 실효성을 검증할 수 있다.
고도화 단계(SASE Phase)는 기존 네트워크 아키텍처를 ZTA 원칙에 맞게 재구성하는 단계로, SDP(Software-Defined Perimeter) 구현, Micro Segmentation 도입, SASE(Secure Access Service Edge) 통합 등을 통해 데이터와 사용자가 위치와 관계없이 일관된 보안정책을 적용할 수 있는 구조로 전환한다. 이 단계를 거쳐 진화된 네트워크 보호와 접근 제어를 강화해 최종적으로 고도화된 제로트러스트 아키텍처 구현을 목표로 하는 것이다.
제로트러스트 가이드라인 2.0과 NIST SP 1800-35는 모두 제로트러스트를 효과적으로 전환하려면 기업의 보안 역량 강화와 인프라 개선이 필수적이라고 강조한다. 또한, 단계적 접근을 통해 도입 부담을 낮추는 전략이 필요하다고 제안한다. 이는 제로트러스트 도입은 성숙도 단계에 맞춰 체계적이고 점진적으로 이루어져야 함을 시사한다.
개별적이고 사일로(silo)화된 보안 솔루션을 단편적으로 도입하는 것으로 끝내거나 명확한 목표와 범위를 설정하지 않고 접근할 경우, 도입에 대한 실질적인 효과를 거두기 어렵다. 제로 트러스트가 성공적으로 안착하기 위해서는 경영진의 장기적인 지원, 단계적 추진 계획 수립, 명확한 범위 설정, 그리고 지표 기반의 효과 측정을 통해 조직의 성숙도를 꾸준히 높여 나가는 것에 달린 것이다. 이런 흐름을 보면 제로트러스트의 성공은 기술 도입 그 자체보다는 조직이 얼마나 민첩하고 지속적으로 보안 성숙도 수준을 개선해 나가는 문화를 갖추는가에 달려 있을지도 모른다.
향후 몇 년간 제로트러스트는 단순한 보안 기술을 넘어 사이버 보안 전략의 기본 전제로 자리 잡을 가능성이 매우 크다. 물론 제로 트러스트가 모든 보안 문제를 해결하는 은탄환(Silver Bullet)은 아니다. 그러나 위협 환경이 점점 더 정교해지고, 클라우드 및 분산 자산 중심의 IT 환경으로 급속히 전환되는 이 시대에 ‘침해를 전제로 한 방어’라는 제로트러스트 철학은 더 이상 선택이 아닌 필수 전략이 되고 있다.
중요한 것은 기술 자체가 아니라, 이를 뒷받침할 수 있는 조직의 문화와 구조이다. 제로트러스트의 성공은 단편적인 솔루션 도입이나 일회성 프로젝트로는 결코 완성될 수 없다. 명확한 전략 수립, 단계적 이행 로드맵, 경영진의 지속적 후원, 그리고 조직 전반의 보안 성숙도를 끊임없이 끌어올리는 노력이 병행되어야 한다. 이러한 구조적 기반 위에서만 제로트러스트는 진정한 효과를 발휘하며, 기업의 디지털 자산을 안전하게 보호하는 핵심 아키텍처로 기능할 수 있다.
궁극적으로 제로트러스트는 기술이 아니라 조직의 보안 사고방식과 운영 철학의 전환을 요구한다. 그것이 곧, 단편적인 보안이 아닌 신뢰 가능한 디지털 환경, 즉 ‘트러스트 시대’로 나아가는 유일한 길이 될 것이다.
[글_ 윤아영 한국정보공학기술사회 기술사]
필자 소개_
- 한국정보공학기술사회 미래융합기술원 위원
- 정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원
- 15년간 보안솔루션 개발자로 현장을 지켜온 후, 새로운 도약을 위해 다음 도전을 준비하고 있다. 변화하는 사이버 보안 환경 속에서 기술과 사람을 연결하는 전문가로 성장하기 위해 끊임없이 고민하고 탐구 중이다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
