세계서 확산·국회도 꺼낸 '제로 트러스트'…국내 도입 더뎌

내부자도 신뢰하지 않는 보안 정책 '제로 트러스트'
미국 의무화 등 글로벌 주목 중...한국 도입은 미미
정부 가이드라인 구속력 부족, 의무화 필요성 대두
빠른 의무화로 5년 내 '최적화 단계'까지 달성 제언
"국가가 보안 시스템, 제로 트러스트로 대전환해야"

뉴시스

[파이낸셜뉴스] 최근 통신사와 쿠팡 등에서 일어난 개인정보 유출 사태를 계기로 기업들이 '제로 트러스트(zero trust)' 보안 정책 적용을 앞당겨야 한다는 지적이 나오고 있다. 제로 트러스트는 모두에게 최소한의 보안 접근 권만을 주고, 정보 접근시 신원 증명이나 보안권한 등을 상시 확인토록 하는 보안 정책을 의미한다. 미국은 조 바이든 전 미국 대통령이 강조해 공공기관은 의무화 됐으며, 기업들도 정책 도입률이 늘고 있다. 우리 정부는 지난해 '제로 트러스트 가이드라인 2.0'을 공개했으나 국내에서 제로 트러스트 정책을 운영하는 기업들은 여전히 10%도 되지 않는 것으로 전해졌다.

21일 정보기술(IT) 업계에 따르면 쿠팡은 미국 증권거래위원회(SEC) 공시를 통해 '내부자'인 전직 직원 1명이 약 3300만개의 고객 정보를 취득했을 가능성이 있다고 밝혔다. 지난 2일 국회 과학기술정보방송통신위원회가 개최한 쿠팡 현안 질의에선 이정헌 더불어민주당 의원은 "모든 접근 시도나, 모든 접근 요청에 대해 의심하고 모든 상황에서 인증이 이루어지도록 해야 한다"면서 제로 트러스트의 중요성을 강조했다.

국내 기업들의 제로 트러스트 도입 수준은 현저히 낮다. 지난 2021년 글로벌 보안 기업 옥타의 아시아·태평양(APAC) 보고서에 따르면, 한국에서 제로 트러스트를 도입한 기업 비중은 4%에 불과했다. 지난해 시장조사업체 가트너에 따르면 구글과 마이크로소프트 등 세계 기업 63%가 제로 트러스트를 도입한 상태다.

정부 정책은 걸음마 단계다. 과학기술정보통신부는 지난해 12월 △기존 단계 △초기 단계 △향상 단계 △최적화 단계 등 4단계로 성숙도를 구분한 '제로 트러스트 가이드라인 2.0'을 마련한 상태다.

전문가들은 국내 공공기관이나 기업들도 단계적으로 제로 트러스트 도입 의무화가 필요하다고 제언한다. 서광현 한국제로트러스트보안협회 상근부회장은 "제로 트러스트를 기업들이 지금 도입해도 평균적으로 초기 단계까지 1년, 향상 단계 3년, 최적화 단계까지 5년이 걸린다"며 "하루빨리 초기 단계 성숙이라도 시작해야 한다"고 말했다. 서 부회장은 쿠팡의 경우 가이드라인에 나온 4단계 중 '향상 단계' 수준의 보안 정책을 적용했어야 정보 유출을 막을 수 있을 것으로 봤다. 제로 트러스트 향상 단계 수준에선 내부 네트워크를 쪼개 관리하기 때문에 내부자라도 대량 정보에 접근하기 어렵다.

박춘식 서울여대 정보보호학과 교수는 "정부가 의무화에 속도를 냈더라면 쿠팡뿐 아니라 국내에서 일어난 다른 해킹 피해도 최소화할 수 있었을 것"이라며 "현재 가이드라인은 권고일 뿐 구속력이 매우 약하다. 미국 연방 정부는 이미 공공기관을 대상으로 의무화했다"고 말했다. 그는 "일본과 영국 등 글로벌 국가도 제로 트러스트 도입을 강조하는 흐름"이라고 덧붙였다.

이정헌 민주당 의원은 "제로 트러스트가 새로운 표준이 돼야 한다. 인센티브 도입과 의무화 등 정책 수단을 통해 보안 시스템의 대전환을 만들어내야 할 시점"이라며 "쿠팡 사고의 교훈은 더 이상 사이버 보안이 민간 자율 영역에만 맡길 문제가 아니라는 것이다. 국가가 책임 있는 역할을 다할 때"라고 강조했다.

이에 대해 한 업계 관계자는 "제로 트러스트라는 보안 정책이 이상적이지만 기업들이 실제 도입하고 운영하는데는 비용과 경험 등 여러가지 요소를 고려할 수밖에 없다"면서 "기업들 입장에서 현실적으로 어느 선까지 보안을 강화할 수 있는지에 대한 고민은 좀 더 필요하다"고 말했다.

kaya@fnnews.com 최혜림 기자

Copyrightⓒ 파이낸셜뉴스. 무단전재 및 재배포 금지.