사고 나면 늦다…최민희 ‘제로트러스트 보안법’ 발의

[이데일리 김현아 기자] 최민희 국회 과학기술정보방송통신위원장(더불어민주당)이 디지털 안전망 강화를 목표로 ‘제로트러스트 보안법’(정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안) 추진에 나섰다.

클라우드 전환이 빠르게 진행되고 공급망 해킹, 내부자 위협 등 공격 양상이 복잡해지는 만큼, 기존처럼 내부망 경계만 지키는 방식으로는 한계가 크다는 판단에서다.

법안의 핵심은 정보통신서비스 제공자에게 내부·외부 네트워크 구분 없이 모든 접근 요청을 지속적으로 검증하고, 최소 권한 원칙에 따라 접근을 통제하는 ‘제로트러스트’ 체계 도입을 촉진하는 것이다.

최 위원장은 제안 취지에서 사고 발생 이후 대응 중심의 보안 체계로는 부족하다며, 제로트러스트 기반의 사전 차단 체계가 필요하다고 강조했다.

과학기술정보통신부 ‘제로트러스트 가이드라인 버전2.0’ 내 인포그래픽(사진=과기정통부)

제로트러스트가 뭔데?

제로트러스트는 ‘기본값은 불신’이라는 보안 설계 철학으로 요약된다. 사용자·기기·애플리케이션·네트워크가 “안에 있다”는 이유만으로 신뢰하지 않고, 접속과 권한을 계속 확인하는 방식이다.

인증과 권한 관리, 로그 점검, 네트워크 세분화 같은 통제 요소가 결합되며, “한 번 통과하면 끝”이 아니라 “계속 확인한다”는 점이 핵심이다.

해외에선 제로트러스트가 이미 정책 키워드로 자리 잡았다. 미국 연방정부는 제로트러스트 원칙 전환을 로드맵으로 제시하고 기관별 이행을 주문했으며, 사이버보안 당국(CISA)도 아이덴티티, 디바이스, 네트워크, 애플리케이션·워크로드, 데이터 등 영역별 성숙도 모델을 통해 단계적 도입을 유도하고 있다.

최민희 국회 과방위원장.

의무화 강도가 쟁점될 듯

다만 법제화 과정에서 쟁점도 적지 않다. 우선 ‘의무화 강도’가 어디까지 갈지가 관건이다. 제로트러스트는 초기 구축 비용이 큰 편이어서, 특히 중소기업·스타트업에 과도한 부담으로 작용할 수 있다는 우려가 나온다.

‘지속적 검증’을 위해 데이터 수집이 늘면 프라이버시 침해나 내부 감시 논란으로 이어질 가능성도 있다.

업종별로 현실적인 최소 기준과 검증 방식(표준·가이드라인)이 함께 마련되지 않으면 ‘서류상 준수’로 흐를 수 있다는 지적도 제기된다.

최민희 위원장은 “SK텔레콤 유심 해킹, KT·롯데카드 해킹, 쿠팡 개인정보 유출 사고는 사이버보안이 곧 국민의 생명줄임을 보여줬다”며 “사고 이후 대응하는 구조로는 한계가 있으므로 이제는 제로트러스트로 미리 차단해야 한다”고 말했다.