[한국정보공학기술사 보안을 論하다-30] 안전한 제로트러스트 적용을 위한 지름길

보다 능동적이고 지속 가능한 보안 전략의 핵심 ‘제로트러스트(Zero Trust)’
망분리 완화 기조 본격화 되는 지금...보안-비즈니스 간 소통이 가장 중요한 시기

[보안뉴스=문광석 기술사/코리안리 IT보안파트장] 2025년은 보안 업계 종사자들에게 정말 잊을 수 없는 한 해였다. 통신 3사의 보안사고, 금융회사의 고객정보 유출, 글로벌 랜섬웨어 그룹의 정교한 타깃 공격까지 올해만큼 국내 보안 업계가 이토록 긴장 속에서 혼란스러운 시간을 보낸 적이 있었는지 되묻게 된다.

[자료: gettyimagesbank]

정부는 2025년 잇따른 사고를 수습하고자 지난 10월 ‘범정부 정보보호 종합대책(2025.10.22)’을 발표했다. 핵심은 전방위적 해킹 사고로 인한 국민 불안이 가속화됨에 따라 이를 해소하기 위해 국가 전반의 정보보호 역량을 대폭 강화하겠다는 것이다.

이에 공공·금융·통신 등 국민 대다수가 이용하는 1,600여 개 IT 시스템에 대한 대대적인 보안 취약점 점검을 추진하고, 특히 최근 사고가 집중된 통신사에는 실제 해킹 수준의 고강도 불시 점검을 시행해 주요 자산의 식별 및 관리 체계를 정비하도록 요구하고 있다.

이와 같은 내용은 지난 9월에 내려진 3만 개 기업 대상 긴급 보안 점검 지시의 연장선에 있으며, 11월에는 개인정보보호위원회가 ISMS-P 인증 기업 전체를 대상으로 하는 특별 사후 점검까지 공식 요청한 상황이다. 하지만 과연 정부 주도의 자산 점검 및 취약점 진단만이 현 시대 ‘대한민국 해킹공화국’이라는 오명에서 탈출할 수 있는 유일한 방법일까?

다시 한번 근본적인 고민이 필요한 시점이 도래한 셈이다.

“식별되지 않은 것은 측정(평가)될 수 없고, 측정되지 않은 것은 개선될 수 없다”는 말처럼 자산 식별이 위험 관리의 핵심 요소라는 점에는 이견이 없다.

그러나 자산을 열심히 식별하고, 기존 방식과 동일하게 진단·통제·관리를 수행하면 된다는 접근은 현 시점의 IT 환경을 고려할 때 더 이상 유효한 해법이라고 보기 어렵다. 4차 산업혁명 이후 AI·클라우드 등 신기술이 급격히 확산되면서 기업 내 자산은 실시간으로 변화하고 있다. 어제 존재하던 자산이 오늘은 사라질 수 있으며, 컨테이너 기반 환경에서는 수분·수초 단위로 자산이 생성·삭제되는 것이 일상이 됐다. 이러한 시대에 ‘식별 → 측정 → 개선’이라는 자산의 선형적 관리 방식은 명확한 한계를 드러내고 있다.

자산이 순식간에 변화하고, 외부에서는 AI를 활용한 지능형 공격이 끊임없이 이어지는 현실에서는 보다 능동적이고 지속 가능한 보안 전략이 필요하다. 그 핵심이 바로 ‘제로트러스트(Zero Trust)’이다.

제로트러스트는 이름 그대로 “아무도 신뢰하지 않는다”는 원칙에서 출발한다. 이것은 기존 경계 기반 보안 모델이 DMZ(Demilitarized Zone)를 한 번 통과하는 순간 내부에서 자유롭게 활동할 수 있게 되는 구조적 취약점을 보완하기 위해 등장한 철학이다. 다시 말해 내부·외부를 불문하고 모든 사용자·기기·요청을 신뢰하지 않고 지속적으로 검증하는 접근 방식이다.

끊임없이 변화하는 자산 환경에서는 애초에 시스템이 설계되는 단계부터 보안이 내재화되는 ‘Secure by Design’ 전략이 함께 적용되어야 한다. 제로트러스트는 더 이상 선택이 아니라, 빠르게 진화하는 위협 환경에서 기업이 생존하기 위해 반드시 채택해야 하는 보안 패러다임이다.

이미 해외에서는 많은 국가가 제로트러스트를 의무화하는 방향으로 정책을 전환하고 있다. 가장 빠르게 움직인 국가는 미국이다. 바이든 행정부는 2021년 5월, 고도화된 사이버 위협으로 발생하는 사고가 급증하자 기존 보안체계만으로는 대응이 불가능하다고 판단했다. 이에 따라 ‘국가 사이버 보안 개선을 위한 행정명령(EO 14028)’을 발표하며 연방 민간 행정기관 전반에 보안 표준의 현대화를 요구하고, 제로트러스트 아키텍처 도입을 공식화했다. 이후 백악관 산하 OMB(Office of Management and Budget)는 제로트러스트 전략과 목표를 구체화한 후속 지침 OMB-22-09를 발표하며, 사실상 제로트러스트의 전면 의무화를 추진했다.

호주 또한 이 흐름에 합류했다. 2025년 보호·보안정책 프레임워크(Protective Security Policy Framework, PSPF)에 따라 중요 인프라 기업에는 제로트러스트 기반 세분화(Segmentation)가 필수 전략으로 포함되었으며, 이에 따라 사이버 위협에 대한 대응 능력과 보안 기준이 지속적으로 강화되고 있다.

국제적으로 제로트러스트가 확산되는 가운데 국내에서도 2023년 7월 ‘제로트러스트 가이드라인 1.0’이 발표된 이후, 2024년 10월에는 가이드라인 2.0이 공개됐다. 하지만 가이드라인이 발표된 지 1년이 넘었음에도 실제 현장에서의 제로트러스트 구현은 여전히 더디고 먼 과제로 느껴진다.

최근 대기업들은 잇따른 보안 사고로 인해 투자를 확대하면서 ‘제로트러스트 구현’이라는 목표 아래 다양한 도입 방향을 검토하고 있다.

제로트러스트는 기본적으로 무엇을 통제하고 관리할 것인지, 다시 말해 어떤 보안 구성요소를 중심으로 정책을 설계할 것인지부터 시작된다. 이 구성요소가 바로 ‘필러(Pillar)’이다. 기업은 제로트러스트를 통해 달성하고자 하는 목표를 정의하고, 그 목표를 기반으로 보안 요구 조건과 정책을 구체화해야 한다. 이때 사용되는 핵심 구성요소는 식별자·신원, 기기·엔드포인트, 네트워크, 시스템, 애플리케이션·워크로드, 데이터이며, 바로 “누가, 언제, 무엇을, 어떻게 활용할 수 있는지”를 시스템 정책으로 구현하는 기반이 된다.

각 요소는 솔루션에서도 다양한 방식으로 구현된다. 예를 들어, PC에서 Reverse TCP 기반 프로그램이 터널을 열어 외부 웹 접속처럼 위장해 통신하는 악성 프로그램이 존재할 경우, 기존의 방화벽 체계만으로는 이러한 행위를 식별하기 어렵다.

▲제로트러스트 관점의 필러 통제 사례 [자료: 한국정보공학기술사회]

하지만 제로트러스트 관점에서 필러를 기반으로 통제할 경우 상황은 완전히 달라질 수 있다. 동일한 외부 443 포트로의 통신이라 하더라도, 일반적인 브라우저 트래픽이 아닌 Netcat 기반 통신이며, 더 나아가 평판 조회 결과가 좋지 않은 외부 사이트로 연결된다면, 이는 일상적 웹 통신이 아니라 데이터 유출을 위한 비정상 행위로 의심해야 한다.

제로트러스트는 단순히 ‘아무도 신뢰하지 않는다(Never Trust)’라는 원칙에만 머물지 않는다. 더 중요한 핵심은 “그래서 더 면밀하게 들여다보겠다(Always Verify)”는 접근이다. 기존 보안 체계에서 간과하거나 생략했던 지점들까지 정밀하게 검증하고 확인하는 전략이 바로 제로트러스트의 본질이다. 이러한 정교한 검증 중심 철학과 집중(Focusing) 전략 때문에 제로트러스트 모델을 신뢰하고 지지하는 보안 전문가들이 적지 않다.

제로트러스트를 논할 때 많은 사람들이 ‘마이크로 세그멘테이션(Micro-segmentation)’을 먼저 떠올린다. 물론 마이크로 세그멘테이션은 효과적인 네트워크 세분화 기술이다. 하지만 적절한 준비 없이 곧바로 마이크로 세그멘테이션을 적용하는 순간, 바로 현실과 동떨어진 운영 정책으로 전락할 수밖에 없다.

기업별 운영 방식, 비즈니스 특성, 시스템 구조를 고려해 위험을 식별한 뒤, 그 결과에 따라 대규모 구역을 먼저 나누는 매크로 세그멘테이션(Macro-segmentation)을 선택할 수도 있고, 혹은 유연한 영역 구성과 자동화를 제공하는 소프트웨어 정의 네트워킹(SDN, Software Defined Network) 기반 접근이 더 적합할 수도 있다.

어떤 방법이 ‘정답’이냐가 중요한 것이 아니라, 우리 환경에 어떤 방식이 가장 합리적이고 실행 가능한가가 핵심이다.

1인 보안담당자 체계의 기업에서 ‘무조건 안전하게 구성한다’는 명목으로 모든 영역을 전면 마이크로 세그멘테이션으로 분리한다면, 운영 관리 미흡으로 인한 새로운 취약점이 발생할 가능성은 오히려 높아진다. 걷기도 배우지 못한 아기에게 달리기를 강요하면 넘어질 수밖에 없듯, 기업 규모와 역량을 고려하지 않은 과도한 보안 적용은 위험을 키우는 결과를 초래한다. 지금 우리에게 필요한 것은 각 기업의 현실에 맞는 제로트러스트 전략이다.

전체적인 제로트러스트 체계를 설계하기에 앞서, 핵심 영역부터 우선순위를 정해 검토하는 전략적 접근이 필요하다. 최근 국내 보안 정책은 ‘자율보안’ 중심으로 변화하고 있다. 이것은 단순히 규제 기반의 통제에서 벗어나 허용 범위를 넓히되, 그에 따른 책임을 기업이 직접 부담하는 구조로 바뀌고 있음을 의미한다.

이 방향성은 산업 발전을 제약했던 규제 중심 정책에서 벗어나려는 긍정적 변화로 볼 수 있다. N2SF를 비롯해 최근 개정된 개인정보 안전성 확보조치 기준에서는 위험 분석에 따라 적절한 통제 대책을 적용한 경우, 인터넷망 차단(망분리) 의무를 예외적으로 적용할 수 있는 조항이 신설됐다. 그동안 가장 민감한 이슈였던 개인정보 취급자 PC의 망분리 규제조차 기업이 자율적으로 통제체계를 구성하고 그 책임을 명확히 한다면 예외가 허용되는 방향으로 변화하고 있는 것이다.

이처럼 국가 차원의 보안 정책이 전환되는 시점에서 기업에게 필요한 보완 대책은 무엇인가? 바로 망분리 완화 정책과 함께 적용 가능한 최적의 보안 보완책으로서 제로트러스트 모델을 도입하는 것이다.

▲문광석 기술사 [자료: 한국정보공학기술사회]

자율보안 기조와 맞물려 망분리 완화 시 대안으로 Best Practice로 고수준의 제로트러스트 우수 사례를 선정하고, 우수 기업에게는 정보보호 공시 가점 등 인센티브를 제공하는 방식의 정책적 지원이 마련된다면, 책임 전가가 아닌 보안과 비즈니스가 함께 성장하는 생태계를 조성하는 계기가 될 것이다.

국제 정보보호 거버넌스 표준인 ISO/IEC 27014는 보안이 비즈니스와 끊임없이 소통해야 한다는 점을 강조한다. 망분리 완화 기조가 본격화되는 지금이 바로 그 보안-비즈니스 간 소통이 가장 중요한 시기다.

보안의 춘추전국시대 속에서 정말 보안을 잘하는 기업이 공정하게 인정받는 문화, 그리고 보안이 기업 경쟁력으로 연결되는 환경이 조성되기를 기대해 본다.

[글_문광석 기술사/코리안리 IT보안파트장]

필자 소개_
-과학기술정보통신부 사이버보안전문단
-한국정보공학기술사회 미래융합기술원장
-차세대 보안리더 양성프로그램(Best of Best) 보안컨설팅 멘토
-국가직무능력표준(NCS) 학습모듈 정보보호, 개인정보분야 개발진
-금융보안원 & 한국인터넷진흥원(KISA) 정보보안 강사, 교육과정 자문위원, 제안평가위원
-키워드로 정리하는 정보보안 119, 삐뽀삐뽀 보안 119, 수제비 정보보안기사 저자
-정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, ISO27001 인증심사원, 개인정보영향평가원, K-Shield(최정예 사이버보안 전문가), AWS Security Specialty, CISSP, CEH, CPPG 등

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)