.jpg)
허점 드러낸 기존 경계 기반 보안의 대체제로 떠오른 제로트러스트, N2SF 붐과 함께 급성장
[보안뉴스 원병철 기자] 사이버보안의 근간이었던 ‘경계 기반 보안(Perimeter-based Security)’에 대한 믿음이 흔들린 건 너무나 많은 사이버 공격과 그로 인한 피해 때문이다. 특히 코로나19로 인해 업무 환경이 급격하게 변화한 것과 클라우드의 등장으로 인해 경계가 붕괴하고, 내부 위협과 횡적 이동에 대한 대응이 시급해지면서 기존 경계 기반 보안을 보완할 수 있는 ‘제로트러스트(Zero Trust)’가 제시됐다.
[출처: gettyimagesbank]
제로트러스트에 대한 연구에 가장 열정적이었던 나라는 미국이었다. 제로트러스트에 대한 개념이 등장한 건 오래전이었지만, 미연방 인사관리처(OPM)가 해킹으로 연방 공무원과 신원조사를 받은 일반인 등 2150만명의 개인정보가 유출된 사건이 2016년 알려지면서 본격적인 연구가 이뤄졌다. 당시 충분히 막을 수 있는 사건이었지만, 낙후된 시스템과 인증 시스템 미비, 보안에 대한 리더십 부재 등 총체적 문제로 인한 인재(人災)로 알려지면서 제로트러스트가 본격적으로 대두되기 시작했다.
우리나라도 발 빠르게 대응했다. 공공과 민간, 학계까지 한데 모여 2022년 10월 ‘제로트러스트·공급망 보안 포럼’을 발족하고 본격 연구에 들어간 것이다. 활발한 논의 끝에 2023년 7월, 과학기술정보통신부와 한국인터넷진흥원, 그리고 한국제로트러스트포럼이 공동으로 ‘제로트러스트 가이드라인 1.0’을 발간했다. 이후 정부 부처는 물론 관계기관과 기업 등에서 다양한 피드백을 받았고, 이를 바탕으로 2024년 12월 ‘제로트러스트 가이드라인 2.0’이 발간됐다.
제로트러스트, 보안의 새로운 아키텍처
제로트러스트는 AI와 마찬가지로 모든 영역의 사이버보안 솔루션에 영향을 미쳤다. 이전 경계 기반 보안이 내부에 한 번 들어온 사용자는 별도로 제어하지 않는 것과 달리, 제로트러스트는 모든 종류의 접근에 대해 신뢰하지 않고, 명시적 신뢰를 확인한 후 리소스 접근을 허용했기 때문이다.
제로트러스트 가이드라인 1.0의 ‘제로트러스트 아키텍처 기본 원리’에 따르면 첫 번째, 기본 원칙은 모든 종류의 접근에 대해 신뢰하지 않을 것(명시적인 신뢰 확인 후 리소스 접근 허용)을 강조한다. 두 번째, 일관되고 중앙집중적인 정책 관리 및 접근제어 결정, 실행이 필요하며, 세 번째는 사용자, 기기에 대한 관리 및 강력한 인증이 요구된다. 네 번째는 리소스 분류 및 관리를 통한 세밀한 접근제어(최소 권한 부여)를 해야 하며, 다섯 번째는 논리 경계 생성 및 세션 단위 접근 허용과 통신 보호 기술을 적용하도록 한다. 마지막 여섯 번째는 모든 상태에 대한 모니터링, 로그와 이를 통한 신뢰성을 지속적으로 검증하고 제어해야 한다.
공공에는 N2SF, 민간에는 제로트러스트
여기에 최근 국가정보원의 N2SF도 제로트러스트 원칙을 수용할 수 있는 통합형 국가 보안체계를 강조하면서, 제로트러스트가 강조됐다. N2SF가 제로트러스트 아키텍처를 수용할 수 있는 구조적 기반을 제공하기 때문이다. 일각에서는 공공은 N2SF, 민간은 제로트러스트라고 부를 정도로 유사한 점이 있다고 주장한다. 실제로 2025년 9월 30일 공개된 ‘N2SF 가이드라인 1.0’에 따르면, N2SF도 각 기관이 보안대책을 수립할 때 단순히 통제 목록을 따르는 수준에 머무르지 않고 제로트러스트 원칙이나 기관 고유의 임무 특성을 고려해 통제를 재해석하거나 세분화할 수 있는 여지를 제공한다. 특히 N2SF가 제시하는 5단계 절차(준비-C/S/O 등급 분류-위협 식별-보안대책 수립-적절성 평가·조정)는 형식적 절차를 넘어 제로트러스트의 철학을 포용한다.
‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’란 의미를 담고 등장한 제로트러스트는 기존 경계 기반 보안의 문제점을 해결하기 위해 연구된 보안으로 새로운 개념이자 철학이며, 이제는 아키텍처로 자리 잡았다. 보안을 보다 강화해 사용자들의 불편함이 더 가중될 것으로 보이나, 오히려 기술력을 강화해 자동화하는 등 사용자 편의성도 높일 것으로 기대된다. 물론 기존의 보안 솔루션을 대체하는 과정이나 사용자의 필요에 맞춰 적용하는 문제 등 숙제가 남아 있지만, 이는 발전 과정에서의 잡음일 뿐 제로트러스트의 성장은 지속될 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 사이버보안의 근간이었던 ‘경계 기반 보안(Perimeter-based Security)’에 대한 믿음이 흔들린 건 너무나 많은 사이버 공격과 그로 인한 피해 때문이다. 특히 코로나19로 인해 업무 환경이 급격하게 변화한 것과 클라우드의 등장으로 인해 경계가 붕괴하고, 내부 위협과 횡적 이동에 대한 대응이 시급해지면서 기존 경계 기반 보안을 보완할 수 있는 ‘제로트러스트(Zero Trust)’가 제시됐다.
[출처: gettyimagesbank]
제로트러스트에 대한 연구에 가장 열정적이었던 나라는 미국이었다. 제로트러스트에 대한 개념이 등장한 건 오래전이었지만, 미연방 인사관리처(OPM)가 해킹으로 연방 공무원과 신원조사를 받은 일반인 등 2150만명의 개인정보가 유출된 사건이 2016년 알려지면서 본격적인 연구가 이뤄졌다. 당시 충분히 막을 수 있는 사건이었지만, 낙후된 시스템과 인증 시스템 미비, 보안에 대한 리더십 부재 등 총체적 문제로 인한 인재(人災)로 알려지면서 제로트러스트가 본격적으로 대두되기 시작했다.
우리나라도 발 빠르게 대응했다. 공공과 민간, 학계까지 한데 모여 2022년 10월 ‘제로트러스트·공급망 보안 포럼’을 발족하고 본격 연구에 들어간 것이다. 활발한 논의 끝에 2023년 7월, 과학기술정보통신부와 한국인터넷진흥원, 그리고 한국제로트러스트포럼이 공동으로 ‘제로트러스트 가이드라인 1.0’을 발간했다. 이후 정부 부처는 물론 관계기관과 기업 등에서 다양한 피드백을 받았고, 이를 바탕으로 2024년 12월 ‘제로트러스트 가이드라인 2.0’이 발간됐다.
제로트러스트, 보안의 새로운 아키텍처
제로트러스트는 AI와 마찬가지로 모든 영역의 사이버보안 솔루션에 영향을 미쳤다. 이전 경계 기반 보안이 내부에 한 번 들어온 사용자는 별도로 제어하지 않는 것과 달리, 제로트러스트는 모든 종류의 접근에 대해 신뢰하지 않고, 명시적 신뢰를 확인한 후 리소스 접근을 허용했기 때문이다.
제로트러스트 가이드라인 1.0의 ‘제로트러스트 아키텍처 기본 원리’에 따르면 첫 번째, 기본 원칙은 모든 종류의 접근에 대해 신뢰하지 않을 것(명시적인 신뢰 확인 후 리소스 접근 허용)을 강조한다. 두 번째, 일관되고 중앙집중적인 정책 관리 및 접근제어 결정, 실행이 필요하며, 세 번째는 사용자, 기기에 대한 관리 및 강력한 인증이 요구된다. 네 번째는 리소스 분류 및 관리를 통한 세밀한 접근제어(최소 권한 부여)를 해야 하며, 다섯 번째는 논리 경계 생성 및 세션 단위 접근 허용과 통신 보호 기술을 적용하도록 한다. 마지막 여섯 번째는 모든 상태에 대한 모니터링, 로그와 이를 통한 신뢰성을 지속적으로 검증하고 제어해야 한다.
공공에는 N2SF, 민간에는 제로트러스트
여기에 최근 국가정보원의 N2SF도 제로트러스트 원칙을 수용할 수 있는 통합형 국가 보안체계를 강조하면서, 제로트러스트가 강조됐다. N2SF가 제로트러스트 아키텍처를 수용할 수 있는 구조적 기반을 제공하기 때문이다. 일각에서는 공공은 N2SF, 민간은 제로트러스트라고 부를 정도로 유사한 점이 있다고 주장한다. 실제로 2025년 9월 30일 공개된 ‘N2SF 가이드라인 1.0’에 따르면, N2SF도 각 기관이 보안대책을 수립할 때 단순히 통제 목록을 따르는 수준에 머무르지 않고 제로트러스트 원칙이나 기관 고유의 임무 특성을 고려해 통제를 재해석하거나 세분화할 수 있는 여지를 제공한다. 특히 N2SF가 제시하는 5단계 절차(준비-C/S/O 등급 분류-위협 식별-보안대책 수립-적절성 평가·조정)는 형식적 절차를 넘어 제로트러스트의 철학을 포용한다.
‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’란 의미를 담고 등장한 제로트러스트는 기존 경계 기반 보안의 문제점을 해결하기 위해 연구된 보안으로 새로운 개념이자 철학이며, 이제는 아키텍처로 자리 잡았다. 보안을 보다 강화해 사용자들의 불편함이 더 가중될 것으로 보이나, 오히려 기술력을 강화해 자동화하는 등 사용자 편의성도 높일 것으로 기대된다. 물론 기존의 보안 솔루션을 대체하는 과정이나 사용자의 필요에 맞춰 적용하는 문제 등 숙제가 남아 있지만, 이는 발전 과정에서의 잡음일 뿐 제로트러스트의 성장은 지속될 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=spacer}
.jpg){kind=spacer}
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
