[아이티데일리] 내부와 외부를 가르던 기존의 ‘경계 중심’ 보안을 넘어 “아무것도 신뢰하지 않고, 항상 검증한다(Never Trust, Always Verify)”는 원칙에 입각해 보안을 지킨다는 ‘제로 트러스트(Zero Trust)’. 국내에서도 제로 트러스트 보안 개념을 도입해 실제 조직의 보안을 강화한 사례를 처음으로 만들고자 2023년 과학기술정보통신부와 한국인터넷진흥원(KISA)의 주도로 실증사업이 진행된 바 있다. 지난해 실증사업을 수행한 SGA솔루션즈의 R&D 총괄 이기욱 전무를 만나 한국형(K) 제로 트러스트를 어떻게 구현했는지 들어봤다.

제로 트러스트 보안 입증 성공

Q. 제로 트러스트 실증사업에 대해 간략히 소개해달라.

“정식 사업명칭은 ‘제로 트러스트 보안 모델 실증 지원사업’으로, 2개 컨소시엄이 사업을 수행했다. 2023년 6일 1일부터 11월 30일까지 6개월간 정부출연금 4억 원, 민간부담금 1억 원 등 컨소시엄 당 총 5억 원의 사업비로 진행됐다. 사업비가 넉넉하지는 않았지만, 상징적인 의미가 있기에 컨소시엄을 꾸려 참여하게 됐다. SGA솔루션즈가 주관한 컨소시엄에는 에스지앤(SGN), 지니언스, 소프트캠프가 참여기관으로 합류했으며 수요기관으로 넷마블, 부동산일일사, 예스티, NHN클라우드가 참여했다.”

Q. 실증사업에 참여하게 된 계기는 무엇이었고, 목표가 있었다면.

“SGA솔루션즈는 지난해 ‘SGA ZTA(Zero Trust Architecture)’라는 이름의 제로 트러스트 보안 솔루션을 출시하며 사업을 본격화한다고 발표한 바 있다. SGA ZTA는 국내 최초의 풀스택(Full-Stack) 제로 트러스트 보안 솔루션임을 자부하고 있다. 즉 SGA솔루션즈는 20여 년 이상 보안 업계에서 다양한 도전을 해오면서 사용자, 기기(Device), 정책 시스템, 엔터프라이즈 자원(Resource) 등을 총망라하는 솔루션 역량을 보유하고 있다. 이러한 기술력을 활용하면 풀스택 ZTA를 실증하는 것이 가능하다고 생각했기에 사업에 참여하게 됐다. 특히 개념적으로만 정리됐던 제로 트러스트 보안 적용 프로세스에 따른 보안 모델을 실제로 입증하면서 그 효과성을 검증하는 것을 목표로 했다.”

“우선 KISA가 제로 트러스트 가이드북 1.0을 통해 제시한 6가지 기본철학과 △강화된 인증 체계 △마이크로세그멘테이션 △네트워크 인프라 및 소프트웨어 정의 등 3가지 핵심원칙에 입각해 사업을 수행하는 것을 목표로 삼았다. 또한 이를 기반으로 엔터프라이즈 리소스 보호를 강화하는 것도 또 다른 목표의 큰 축으로 삼았다. 즉 6가지 원리와 3가지 접근법에 부합하는 시스템을 기반으로 보안 영역별로 목표한 보안 모델에 대응하는 요소를 도출하고, 실증 효과성을 검증하고자 했다.”

“한편으로 컨소시엄 기업들 간의 제로 트러스트 보안 전문 기술 협력도 중요하다고 봤다. SGN은 시스템 보안 기술력을 보유하고 있어 시스템 접근제어 부분을 담당했고, 지니언스는 VPN 기반의 ZTNA(Zero Trust Network Architecture) 솔루션을 구축해 연동했다. 소프트캠프는 엔터프라이즈 리소스 중 데이터 부분을 맡았다. 이로써 부족한 부분 없이 전체 영역에 대한 제로 트러스트 보안 모델을 구축할 수 있게 됐다.”

Q. 사업에서 가장 핵심으로 본 것은 무엇이었나.

“먼저 과기정통부 및 KISA의 제로 트러스트 보안 모델을 준용해 접근 주체부터 시스템(Device), PEP(정책실행지점), PDP(정책결정지점), 엔터프라이즈 리소스 등 전체 영역에 대한 ZTA를 실증하는 것이었다. 또한 KISA의 제로 트러스트 모델에서 추가 제시한 ‘시스템’ 부분에 대한 보안성 확대 방안을 제시하는 것이 두 번째였다. 그리고 마지막으로 컨소시엄을 통해 국내 기업들 간의 협력을 확대하는 것 등을 핵심 목표로 봤다.”

부족한 부분 협력으로 보완, ‘성숙도 모델’ 도출 및 활용 성과

Q. 컨소시엄 내 보안업체들은 각각 어떤 역할을 수행했나.

“먼저 SGA솔루션즈는 제로 트러스트 모델을 설계하고, 솔루션 연동을 기획했으며 이에 따라 연동과 개발 스펙 등을 정의했다. 그리고 실증 시나리오와 함께 수요기관별 유즈케이스를 도출함으로써 이를 기반으로 한 시나리오 적용 방안을 수립했으며, 성숙도 모델도 정의했다. 솔루션 측면에서는 사용자 통합 엔드포인트 보안 솔루션(UEM)을 공급 및 구축했고, 기업 자원에 대한 시스템 보안 기능을 제공했다. 또한 논리적 마이크로 세그멘테이션 환경 구축도 담당했다.”

“SGN은 가장 핵심이 되는 PDP(정책결정지점) 기반의 정책 연동 개발을 담당했다. 사용자 및 디바이스 정보 매핑 연동도 맡았다. ICAM(Identity Credential Access Management) 시스템 기반의 사용자 계정 관리, 접근 대상 시스템 관리, 인증 및 권한 관리 기술을 제공했으며 시스템 영역 보안을 위한 PEP(정책실행지점) 시스템을 구축했다.”

“지니언스는 ZTNA 부분을 맡아 구축했다. ZTNA 기술 기반의 PEP를 구축함으로써 기존 VPN 또는 SSL-VPN 대신 안전한 네트워크 접근을 가능하게 했다. 사용자 위치에 관계 없이 안전한 접속을 가능하게 했으며, 웹 애플리케이션 접속에 대한 PEP를 제공했다. 또한 사용자 인증 상태 및 권한에 기반해 웹 애플리케이션에 대한 접속을 승인 또는 차단할 수 있도록 구현했다.”

“마지막으로 소프트캠프는 엔터프라이즈 자원(Resource)의 데이터 영역을 담당해 웹 애플리케이션 및 다운로드 데이터에 대한 암복호화 연동 기능을 제공했다. RBI(Remote Browser Isolation) 기술을 기반으로 웹 애플리케이션 접속 제어 기능도 제공했다.”

Q. 수요기관별로 어떤 성과를 거뒀는지도 설명해 달라.

“게임, 부동산, 첨단 장비 제조사, 클라우드 사업자 등 다양한 영역의 수요기업에 대해 제로 트러스트 보안 실증을 수행하면서 각각 다른 시나리오에 대한 검증이 이뤄졌다는 점이 성과다. 특히 각 수요기관의 현재 보안 상태를 진단하고(AS-IS), 제로 트러스트 보안 모델을 적용해 어떠한 성과를 기대하는지(TO-BE)를 단순 시나리오 수립이 아닌 실증 단계까지 수행해 봤다는 점에서 큰 성과를 거뒀다고 할 수 있다. 사용자가 안전하게 PC 환경에 접근할 수 있도록 하는 것부터 사용자별 리소스 접근통제, 서버 간 횡적이동 통제, RBI 기술 기반의 웹 애플리케이션 제공 및 안전한 데이터 처리 등 다양한 효과를 실증할 수 있었다. 또한 클라우드 플랫폼을 활용해 제로 트러스트를 서비스(SECaaS)로 제공할 수 있는 가능성을 열게 됐다는 점도 큰 성과라고 할 수 있다. 아직 SECaaS 형태는 아니지만 NHN클라우드를 통해 구축형 형태로 서비스를 제공할 수 있는 상품을 작년 말 출시한 상태다.”

Q. 사업 결과에 대해 어떻게 평가하고 있나.

“우선 과기정통부 및 KISA의 제로 트러스트 가이드라인과 미국 NIST의 SP 800-207 표준 구조에 최적화된 구성 모델을 실증하는 데 성공했다고 평가하고 있다. 즉 제로 트러스트 액세스(ZTA)와 제로 트러스트 네트워크 액세스(ZTNA)를 동시에 구현함으로써 완전한 제로 트러스트 아키텍처(ZTA) 모델을 실증해낸 것이다. 또한 제로 트러스트 도입 전과 후를 정량적으로 비교할 수 있는 기준 모델인 ‘제로 트러스트 성숙도 모델(Zero Trust Maturity Model)’을 정의해 실제 활용해 봄으로써 증명 가능한 제로 트러스트 아키텍처 프레임워크를 구축할 수 있었다는 점도 성과라고 할 수 있다.”

“제로 트러스트는 단계적으로 ‘전환’하는 것”

Q. 제로 트러스트에 관심 있는 고객에게 조언한다면.

“제로 트러스트는 특정 솔루션을 도입해 한 번에 달성할 수 있는 것이 아니라, 단계적으로 ‘전환’해야 하는 것이라고 말씀드리고 싶다. 기존에 쓰고 있는 수많은 솔루션들을 전면적으로 교체하는 것이 아니라, 제로 트러스트라는 원칙에 입각해 하나씩 개선해 나가야 하는 것이다. 이번 실증사업을 진행하면서 기업의 현재 보안 상태를 진단하고, 목표 보안 모델을 도출해 실증까지 해 보는 경험을 쌓을 수 있었다. 컨설팅을 통해 요소 요소마다 제로 트러스트 전환을 위해 필요한 솔루션을 제안하고, 고객과의 논의를 통해 효과적으로 제로 트러스트 도입을 준비할 수 있도록 도움을 줄 수 있는 기업이 SGA솔루션즈라는 점을 강조하고 싶다.”