보도자료

과기정통부, 2024년 제로트러스트 도입·확산 시범사업

우선 과기정통부는 2024년 4월 제로트러스트 보안체계 도입 및 확산을 위한 2024년 시범사업을 추진한다고 밝혔다. 2023년 제로트러스트 실증지원사업을 통해 국내 정보보호 기업들이 국내 업무망 환경에서 제로트러스트 보안 모델을 적용 및 실증했고, 올해부터는 본격적으로 업무망 환경에 적용·운영하는 것을 지원한다는 방침이다. 특히 과기정통부는 올해 4개 과제에 45억원을 지원, 지난해 대비 350% 늘어난 예산을 책정해 제로트러스트에 대한 정부의 관심을 증명했다.

올해 사업에서는 제로트러스트 보안모델 공급기업의 제로트러스트 구현 계획의 정체성뿐만 아니라, 수요기업의 제로트러스트 운영 관리 인력 및 연차별 예산 투자 계획 등을 평가해, 수요기관이 본격적으로 제로트러스트 보안체계를 도입해 운영할 수 있도록 지원한다.

특히 올해 제로트러스트 도입·확산 지원사업에는 과기정통부와 국가정보원, 디지털플랫폼정부위원회가 정부·공공기관에 제로트러스트 보안체계를 도입·확산하기 위해 협력하고 있으며, 올해 사업결과를 기반으로 정부·공공분야 보안체계를 더욱 고도화해나갈 계획이다.

뿐만 아니라, 올해 처음으로 지원하는 ‘제로트러스트 도입·전환 컨설팅’을 통해 자체 투자 여력이 있으나 도입계획 수립에 어려움을 겪고 있는 기업, 중장기적인 제로트러스트 전략 수립이 필요한 기업 등을 대상으로 제로트러스트 컨설팅도 지원할 예정이다.

구체적으로 2024년에는 2개 분야(정부·공공, 민간) 4개 과제에 총 45억원을 지원한다. 지난번과 달리 테스트망 실증이 아닌 실제 망을 도입해 테스트하며, 관련 솔루션의 도입을 지원하기 위해 보안성 검토, CC인증 등의 승인을 위한 관계부처 행정지원도 예정돼 있다.

미 NSA, 제로트러스트 프레임워크 권장

지난 3월 5일에는 현재 제로트러스트 이슈를 이끄는 미국에서 새로운 프레임워크(Framework)를 제시했다. 미 국가안보국(NSA : National Security Agency, 미 국방부 산하 정보기관)이 사이버보안 정보 시트(CIS : Cybersecurity Information Sheet)의 최신판을 발표하면서 망분리를 기본으로 한 제로트러스트가 NSA의 보안 세팅이라고 밝힌 것. 즉, 네트워크를 기능에 따라 분리한 상태에서 제로트러스트 개념을 적용하면 외부에서 누군가 침투해 들어온다고 해도 피해를 줄일 수 있다는 것이 NSA의 설명이다.

외부 침해를 완벽하게 막을 수 없는 것이 명확한 상황에서 망분리와 제로트러스트는 어떤 조직, 어떤 상황에도 추천할 만하다는 것이다. 즉, 침해 자체를 막을 수 없으니 침해한 후의 행동, 예를 들면 데이터를 훔치거나, 백도어를 심거나, 서비스 거부 상태를 만드는 것을 막으면 되며, 망분리와 제로트러스트가 이런 측면에서 도움이 된다는 것이다. NSA 롭 조이스 사이버보안 국장은 “내부망에 이미 보안위협이 침투했다고 가정하고 보안을 기획하는 게 더 좋은 결과를 낳는다”면서, “그래야 원인을 파악하고 위협 거리를 뿌리 뽑는데 집중할 수 있다”고 설명한다.

때문에 NSA는 보유하고 있는 데이터를 파악하고 흐름을 작성하는 것이 필요하다고 설명한다. 뭘 알아야 보호할 수 있다는 것이다. 이어 단계별로 망분리를 시도하고, 이후 SDN, 즉 소프트웨어 정의 네트워크 방향으로 나아가야 한다고 덧붙였다. 다만 네트워크는 늘 변화하는 환경인 만큼 제로트러스트나 망분리 모두 한 번의 구축으로 끝나는 것이 아닌 계속 신경 쓰고 관리해야 한다고 강조했다.

전 세계 기업 63%가 제로트러스트 전략 도입

글로벌 마켓 리서치 기업 가트너가 발표한 ‘2024 제로트러스트 도입 현황’ 보고서에 따르면 전 세계 기업의 63%가 제로트러스트 전략을 도입했고, 56%의 보안책임자들은 제로트러스트 전략이 업계에서 모범사례로 꼽혔기 때문에 이를 추진한다고 답했다. 가트너의 “기업 환경의 몇 퍼센트를 제로트러스트로 처리할 계획인가요?”란 질문에 응답자의 16%는 제로트러스트가 조직의 전체 보안 환경의 75% 혹은 그 이상을 커버할 것으로 봤으며, 25%의 응답자는 50~75%를 커버할 수 있을 것으로 봤다. 또 21%의 응답자는 25~50%, 26%의 응답자는 10~25%, 9%의 응답자는 5~10%, 2%의 응답자는 5% 미만일 것으로 응답했다.

가트너의 왓츠 VP 애널리스트는 “기업 리스크는 제로 트러스트 전략 범위보다 더 광범위하며, 기업 리스크를 완화하는 데는 한계가 있다”라며, “리스크 감소 효과를 측정하고 보안 태세를 개선하는 것은 제로 트러스트 전략의 핵심 지표”라고 설명했다. 아울러 “제로트러스트 지표는 결과물에 맞게 설정해야 하며, 기존 엔드포인트 탐지 및 대응 효과 측정과 같이 다른 영역에서 사용되는 지표를 재활용하는 것은 지양해야 한다”고 덧붙였다.

한편, 시장조사 전문기관 리서치 앤 마켓츠(Reserch and Markets)가 발표한 글로벌 제로트러스트 보안시장 전망 보고서에 따르면 글로벌 제로트러스트 보안시장 규모는 2023년 약 311억 달러(한화 약 4조 1,600억원) 규모에서 연평균 성장률(CAGR) 16.9%를 보이며 2028년에는 약 679억 달러(한화 약 9조 300억원)에 이를 것으로 전망된다.

기기 및 엔드포인트 보안 솔루션의 제로트러스트 도입

지금까지 우리나라와 미국의 제로트러스트 환경의 변화에 관해 설명했다. 그렇다면 제로트러스트 핵심요소의 상황은 어떨까? 과기정통부가 제로트러스트 가이드라인 1.0에서 설명한 ‘제로트러스트 도입을 위한 기업망 핵심요소’ 6종 중 이번 달에 다룰 ‘기기 및 엔드포인트(Device & Endpoint)’는 IoT 기기, 휴대폰, 노트북, PC, 서버 등을 포함해 네트워크에 연결해 데이터를 주고받는 모든 하드웨어 장치를 말한다. 기기 및 엔드포인트는 과기정통부뿐만 아니라 Forrester(7종), CISA(5종), DoD(7종), SAP(6종) 등이 정의한 제로트러스트의 핵심요소에도 모두 포함된, 기업망의 핵심요소다.

기기 및 엔드포인트는 회사는 물론 개인이 사용하는 장비를 모두 포함한다. 사용자가 해당 장비를 통해 사내 업무를 할 경우 주요 장비와 데이터에 접속할 수 있기 때문이다. 특히 코로나 펜데믹과 디지털 전환 가속화로 인해 재택근무 혹은 외부근무가 늘어나면서 사용하는 기기 및 엔드포인트도 함께 늘어났고, 그만큼 공격을 받을 수 있는 표면도 증가했다. 제로트러스트가 기기 및 엔드포인트에서 중요한 이유다.

기기 및 엔드포인트는 앞서 설명한 것처럼 PC를 포함한 다양한 장비를 지칭하는 만큼, 이를 위한 보안 솔루션도 매우 다양하다. 실제로 보안뉴스에서 파악한 대표적인 기기 및 엔드포인트 솔루션만 해도 △Anti-Virus(안티바이러스) △DLP(데이터 유출 방지) △DLP/DRM/매체제어 △EPP(엔드포인트 보안 플랫폼) △EDR(엔드포인트 탐지 및 대응) △PMS(패치관리 솔루션) △MDM(모바일 디바이스 관리) △IoT 보안 솔루션 △XDR(확장형 탐지 및 대응) △MAM(모바일 애플리케이션 관리) 등 다양하다.

포춘 비즈니스 인사이트(Fortune Business Insight)는 글로벌 엔드포인트 시장은 2023년 1,360억 달러(한화 약 18조 1,000억원)에 달하며, 향후 연평균 성장률(CAGR) 9.3%를 보이며 2032년에는 3,029억 달러(한화 약 40조 2,800억원)에 달할 것으로 예상했다.

기기 및 엔드포인트 보안 시장은 글로벌 성장세를 보이는 만큼 새로운 마켓 체인저로 떠오른 제로트러스트의 도입에 진심이다. 최근 몇 년 사이에 기기 및 엔드포인트 보안 시장에 제로트러스트 보안 개념을 도입한 제품이 연이어 등장하고 있으며, 이는 사용자, 장치, 네트워크 등에 대한 신뢰를 기반으로 보안 정책을 적용하는 새로운 보안 모델로 자리 잡고 있다. 실제로 이번 기사를 준비하면서 △스냅태그 △시큐리온 △에스케어 △엑소스피어랩 △엔피코어 △워터월시스템즈 △이반티 △이스트시큐리티 △지니언스 △투씨에스지 △트렐릭스 등의 제로트러스트 기기 및 엔드포인트 제품을 확인할 수 있었다.

제로트러스트가 필요한 이유

그렇다면 기업들은 왜 제로트러스트를 기기 및 엔드포인트 보안 솔루션에 접목할까? 우선 환경의 변화를 들 수 있다. 다방면에서 디지털 전환이 이뤄지고, 업무 역시 디지털로 볼 수 있게 되면서 네트워크의 경계가 모호해지고 있다. 사무실, 집, 카페 등 어디서나 업무를 처리하면서 전통적인 보안 경계가 사라지고 있다는 것이다. 특히 기기 및 엔드포인트 보안 솔루션은 제로트러스트의 핵심 개념인 ‘Never Trust, Always Verify’의 대상이 되는 기본 대상이자 객체라 할 수 있다. 재택 및 원격근무를 비롯해 모바일, 클라우드 등 통제 영역 밖의 단말이 많아지고 사라지는 등 변화가 많아 관리가 어려운 점도 문제다. 무엇보다 공격자들이 직접 혹은 간접적으로 노리는 주 타깃이라는 점도 간과할 수 없다.

또한 업계에서는 기기 및 엔드포인트 보안 제품의 실사용자가 외부자가 아닌 내부자라는 사실을 간과하고 있다고 지적한다. 때문에 조직은 내부 관계의 당사자를 신뢰하더라도 그가 사용하는 기기 및 엔드포인트에 대해 지속적으로 검증해야 한다.

다양한 IoT 기기들이 포함된 스마트 업무 환경을 구축하고 있다면 더욱 문제가 된다. 현실적으로 관리 대상인 IoT 기기들이 저마다 제조사와 모델이 다를 가능성이 크며, 그에 따른 보안 인증 수준과 제조사별 보안 지원 수준이 제각각일 수 있다는 거다. 이런 기기들의 보안 이슈를 해결하지 않고, 신뢰할 수 없는 기기로 기업 혹은 기관의 네트워크와 데이터에 접근할 수 있다면, 제로트러스트 보안 전략을 구현하는 데 방해가 될 것이다.

제로트러스트 접목의 걸림돌

이처럼 다양한 기기 및 엔드포인트 보안 솔루션이 여러 이유로 제로트러스트를 접목하고 있다. 하지만 그것도 쉬운 일은 아니다. 앞서 설명한 것처럼 엔드포인트의 환경은 매우 다양하다. 모든 엔드포인트 환경에서 제로트러스트 개념을 적용하기 위해서는 각 환경에 맞는 보안 프로그램을 개발해야 한다. 그렇지 못하면 고객마다 다른 환경으로 인한 제약이 생기고 불편함이 생길 수밖에 없다.

또한 이렇게 많은 엔드포인트를 개별적으로 관리하는 것도 한정된 보안 인력이 소화하기에 어려움이 많을 수밖에 없다. 각 엔드포인트의 보안 수준 또한 제각각이며, 오래된 기기들은 보안 업데이트를 지원받지 못할 수도 있다.

기존 보안 솔루션과의 연동도 문제가 될 수 있다. 기존에 사용 중인 보안 솔루션은 대부분 표준으로 연동이 안되거나, 대규모 변화를 위한 SI 개발이 필요한 것이 많다. 그럼 실제 연동이 어려워져 많은 시간과 노력이 필요해진다.

일부 전문가들은 이러한 연동 문제가 제로트러스트의 본격적인 활성화의 발목을 잡을 것이라고 지적했다. 제로트러스트 구현 과정에서 전체 솔루션을 하나의 밴더가 제공하지 못할 경우 제품 간 연동은 매우 중요하며, 이기종 제품의 연동을 위해서는 상호 간의 약속이 필요한데, 기존 제품들은 이것이 부족하다는 지적이다.

국내 대표 제로트러스트 기기 및 엔드포인트 보안 솔루션

그렇다면 이러한 어려운 상황에서 보안기업들은 어떤 해결책을 준비했을까? 현재 보안시장에 나온 제로트러스트-기기 및 엔드포인트 솔루션은 다음과 같다.

…(중략)…

워터월시스템즈는 엔드포인트 DLP(Data Loss Prevention) 솔루션인 ‘WaterWall™(워터월)’을 독자적으로 개발 및 서비스하는 정보보안 솔루션 전문 기업이다. 해킹과 같은 외부 요인 외에도 임직원과 퇴사자, 외부업체 직원 등에 의해 우수 인재와 핵심 기술, 영업 비밀 등의 중요 정보 탈취와 유실 등이 발생할 수 있다. 워터월은 이같은 데이터 유출을 방지하고 보안 담당자들의 내부 보안 정책 수립 및 보안 고도화를 지원하는 제품이다. DRM을 포함한 기타 엔드포인트 보안 제품군과는 달리, 정보 생성자와 정보 접근 권한자도 보안 대상에 포함하기 때문에, 제로 트러스트 개념에 부합하는 솔루션이라 할 수 있다.

…(중략)…