날로 대담해지는 '데이터 납치'…제로 트러스트 모르면 다 뚫린다

강경주 기자

입력2024.04.08 16:16 수정2024.04.08 16:16 지면B1

AI 시대 기존과 다른 보안모델 도입 시급
생성AI·6G·IoT 등 확산…해킹통로 다양
작년 사이버 침해 1227건…2배나 증가

신원 확인·검증 반복…'제로 트러스트' 필요
서버 등 분리 보호로 한 곳 뚫려도 대응 가능

국내 기업 대다수 '제로 트러스트 개념' 몰라
정보보호공시 기업 200곳 중 6.5% 만 인식
미국·영국·중국 등 해외선 앞다퉈 도입 나서
2026년 516억弗 시장 규모…미래 먹거리 기대

정부 기관과 반도체 기업, 금융권을 대상으로 한 사이버 공격이 늘고 있다. 디도스, 랜섬웨어, 피싱 등 형태를 가리지 않고 해킹이 지속되면서 근본적인 해결 방안으로 ‘제로 트러스트’ 보안 모델을 도입해야 한다는 목소리가 커지는 상황이다.

○“입구 잘 지키는 것으론 부족”

8일 보안업계에 따르면 생성형 인공지능(AI) 시대가 본격화한 지난해부터 해킹이 기승을 부리자, 이전과는 다른 차원의 보안 모델을 도입해야 한다는 주장이 힘을 받고 있다. 대안으로 제시된 것이 제로 트러스트다.

제로 트러스트는 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다. 용어 그대로 ‘아무도 믿지 말라’는 원칙이 기본 전제다. ‘입구만 잘 지키는’ 기존의 보안 체계와 달리 제로 트러스트는 서버, 컴퓨팅, 데이터 등을 각각 분리해 보호하기 때문에 특정 시스템이 뚫려도 다른 시스템은 지킬 수 있다. 신원이 확실해도 최소한의 접근 권한만 부여한다. 내부자와의 공조를 막기 위한 조치다.

제로 트러스트가 부상한 것은 생성형 AI, 6G, 클라우드, 사물인터넷(IoT) 확산으로 해킹 통로가 다양해져서다. 원격 근무와 관련이 없던 제조업에서도 디지털전환(DX) 도입이 속도를 내면서 제로 트러스트 필요성이 산업계 전반으로 확산하는 모양새다.

하지만 기업들 사이에선 제로 트러스트가 여전히 낯선 개념이다. 유진호 상명대 교수가 한국인터넷진흥원(KISA)의 ‘제로 트러스트 보안모델 실증 지원사업’ 성과공유회에서 공개한 ‘국내 제로 트러스트 관련 산업 실태 조사’ 결과에 따르면 국내 정보보호 공시 대상 기업 200개 중 6.5%만 ‘제로 트러스트에 대해 알고 있다’고 답했다. ‘전혀 모른다’는 62.5%, ‘들어봤지만 자세히 알지 못한다’는 31%로 집계됐다.

‘제로 트러스트를 적용하고 있다’는 응답은 더 적어 2.5%에 그쳤다. ‘도입 계획이 없다’는 응답이 77%에 달했고, 17.5%는 ‘도입 의사는 있지만 어떻게 해야 하는지 모른다’는 반응을 보였다. 제로 트러스트 도입에 적극적이지 않은 이유로 62%가 ‘정보 부족’을 꼽았다. ‘보안 강화 필요성을 못 느껴서’(23.6%), ‘임원진의 보안 의식 부족’(14.7%), ‘도입 비용 부담’(4.6%), ‘도입 시 업무상 불편성 증가’(2.9%) 등이 뒤를 이었다.

제로 트러스트 도입을 주저하는 사이 해킹은 증가하는 추세다. KISA에 따르면 사이버 침해 신고 건수는 2020년 630건, 2021년 640건, 2022년 1142건, 지난해 1227건으로 2년 만에 두 배가량 불어났다. 이 중 중소기업 피해 건수가 81%에 달했다.

중소기업이 타깃이 되는 것은 보안 체계가 허술해서다. 정보보호 투자 여력이 부족하다 보니 해킹에 대한 대비가 제대로 돼 있지 않은 경우가 많다는 설명이다. 한국정보보호산업협회의 ‘2023년 정보보호 실태조사’에 따르면 250인 이상 기업 70.6%가 정보보호 조직을 보유 중이다. 이 비율은 회사의 규모가 작아질수록 내려간다. 50~249인 기업에서 49.6%, 50인 미만 기업에서 27.4%만 전담 조직을 운영 중이다.

○제로 트러스트는 미래 먹거리

해외에선 제로 트러스트를 앞다퉈 도입하고 있다. 미국은 2019년 국립표준기술원(NIST)이 ‘제로 트러스트 아키텍처’를 공개하며 새로운 사이버 안보 가이드라인을 마련했다. 영국은 국가 사이버보안센터(NCSC)가 2021년 7월 ‘제로 트러스트 아키텍처 설계 원칙’을 제시했다. 일본은 2020년 6월 정부 정보시스템에서 ‘제로 트러스트 적용을 위한 사고방식’을 도입했다. 중국은 2022년 6월 ‘제로 트러스트 참조 아키텍처’ 초안을 발표했다.

한국은 과학기술정보통신부가 2022년 10월 ‘제로 트러스트·공급망 보안 포럼’을 발족했고, 지난해엔 KISA와 함께 ‘제로 트러스트 가이드라인 1.0’을, 올해엔 ‘2.0’을 배포할 계획이다. 하지만 여전히 관심이 적다는 게 업계의 중론이다. 보안업계 관계자는 “정부 차원에서 홍보를 강화해야 한다”며 “제로 트러스트 교육 프로그램을 만들고, 수료하는 기업에 지원을 늘리는 정책을 고려해야 할 때”라고 말했다.

제로 트러스트가 미래 먹거리가 될 것이라는 관측도 나온다. 시장조사기관 마켓앤드마켓에 따르면 제로 트러스트 시장은 2020년 196억달러에서 2026년 516억달러 규모로 성장할 전망이다.

류제명 과기정통부 네트워크정책실장은 “산학연과 협력해 제로 트러스트, AI 보안 등 차세대 보안 표준화를 국제 사회에서 주도할 수 있도록 지원하겠다”고 말했다.

강경주 기자 qurasoha@hankyung.com

관련 뉴스

1

삼성SDS의 '하이퍼 오토메이션' 혁신…AI로 기업의 업무 생산성 극대화 한다

삼성SDS가 생성형 인공지능(AI)으로 기업의 업무 생산성을 극대화하는 ‘하이퍼 오토메이션’(초자동화) 전환에 박차를 가한다. 기업 데이터와 생성형 AI를 연결하는 ‘패브릭스(FabriX)’ 플랫폼과 협업 솔루션에 생성형 AI를 적용해 근무 시간을 대폭 단축시키는 ‘브리티 코파일럿(Brity Copilot)’으로 업무 혁신을 지원하겠다는 구상이다.8일 정보기술(IT) 업계에 따르면 삼성SDS는 상반기 패브릭스와 브리티 코파일럿을 출시하고 기업 맞춤형 생성형 AI 서비스를 본격화한다.패브릭스는 대규모언어모델(LLM)과 기업 업무시스템을 연결하는 플랫폼이다. 기업의 다양한 데이터, 지식 자산, 업무 시스템 등 IT 자원을 한곳에 모아 임직원들이 쉽게 공유하고 사용할 수 있도록 했다. 예를 들면 패브릭스 사용 시 하루가 꼬박 걸리는 보고서 작성을 10분 내로 완성할 수 있다.패브릭스에 ‘매출 상위 3개 고객 기업의 정보 등을 표 형식으로 만들어 달라’고 입력하자, 고객사 3곳의 매출과 업종, 기업 유형, 대표 전화번호, 홈페이지 주소, 종업원 수 등의 정보를 표 하나로 완성해냈다. 패브릭스가 해당 표를 완성하는 데는 5분도 걸리지 않았다. 삼성SDS는 보안 사고를 감안해 삼성 클라우드 플랫폼을 기반으로 패브릭스를 서비스할 계획이다. 이를 통해 키워드 필터링, 데이터·사용자 권한 관리 등으로 내부정보 유출을 방지할 수 있다. 삼성SDS는 패브릭스를 사내에 적용해 임직원 업무에 활용하고 있다.삼성SDS는 협업 솔루션에 생성형 AI 기술을 적용한 브리티 코파일럿 출시도 앞두고 있다. 브리티 코파일럿은 단순 반복 업무만 자동화하는 RPA(로봇 프로세스 자동화)가 진화한 서비스다. 메일, 메신저, 영상회의, 데이터 저장 등 관련 시스템에서 진행되는 업무에 생성형 AI를 접목했다.브리티 코파일럿이 적용된 영상회의에서는 회의 중 참석자의 음성을 인식해 실시간 자막으로 보여준다. 또 자막 스크립트 기능을 통해 회의 전체 내용을 텍스트로 제공하고, 번역 기능도 넣었다. 통역사 없이도 명확한 의사소통이 가능한 만큼 글로벌 업무가 많은 기업에 유용하다는 게 회사 측 설명이다. 회의가 끝난 뒤에는 회의에서 언급된 전략 실행 방안까지 자동으로 정리해주는 회의 내용 요약 기능도 갖췄다.삼성SDS 관계자는 “사내에서 브리티 코파일럿을 사용해보니 회의 내용 요약 및 회의록 작성 시간이 75% 줄었다”며 “메일을 확인하고 작성하는 데 걸리는 시간은 66%, 메신저 대화를 요약하는 시간은 50% 감소했다”고 했다. 이를 통해 개인별 월 4.9시간의 업무시간을 단축할 수 있다고 강조했다. 임직원 1000명 규모의 기업이라면 브리티 코파일럿 활용을 통해 월 4900시간을 단축하고 연간 43억원의 비용을 절감할 수 있다고 설명했다.황성우 삼성SDS 사장은 “삼성SDS는 회사의 모든 서비스와 상품, 일하는 방식에 생성형 AI를 접목하는 노력을 지속하고 있다”며 “패브릭스와 브리티 코파일럿을 통해 기업 고객들이 업무를 혁신할 수 있도록 지원하겠다”고 말했다.강경주 기자 qurasoha@hankyung.com
2

갈수록 치열해지는 '모빌리티 서비스' 경쟁

국내 모빌리티 기업들의 서비스 경쟁이 치열해지고 있다. 자율주행 택시와 전기차 호출 서비스, 법인 차량 관리 플랫폼 등이 우후죽순 등장하며서 생긴 변화다. 시장도 커졌다. 올해부터 국내 수입되는 해외 차량에 티맵 기반의 한국판 내비게이션이 장착될 예정이다.○카카오, 제주도서 자율주행 차량 운영8일 업계에 따르면 카카오모빌리티는 지난달부터 제주특별자치도에서 자율주행 차량 서비스 ‘네모라이드’를 운영하고 있다. 자율주행 차량은 제주첨단과학기술단지와 제주대학교 아라캠퍼스 일대 11.7km 구간에서운행한다. 네모라이드 앱을 설치해 출발지와 목적지, 탑승 인원 등을 입력하면 자율주행 차량이 출발지까지 온다. 같은 시간 내 동선이 겹치는 승객들은 버스를 이용하듯 일부 구간을 함께 이동하고 따로 내릴 수 있다. 이용 시간은 오전 11시부터 오후 6시까지다. 요금은 무료다.카카오모빌리티는 자율주행 스타트업 라이드플럭스와 함께 네모라이드 서비스를 출시했다. 라이드플럭스는 복잡한 도심환경과 악천후에도 운행이 가능한 자율주행 기술을 개발하는 딥테크 스타트업이다. 네모라이드 출시와 관련해 자율주행 소프트웨어(SW) 개발과 차량 운영 등을 담당했다. 네모라이드는 운전자의 적극적인 개입이 필요 없는 레벨3 수준의 자율주행이 가능하다.장성욱 카카오모빌리티 미래이동연구소장은 “세종시와 판교, 대구광역시 등 다양한 환경에서 자율주행 서비스를 운영하며 평점 5점 만점에 4.98점을 받아왔다“며 “재이용률 67%에 이르는 높은 만족도를 끌어냈다”고 말했다.○쏘카·차봇·티맵도 신규 서비스 출시모빌리티 플랫폼 쏘카는 올해 초 기업간거래(B2B) 카셰어링 솔루션 ‘쏘카FMS’를 출시했다. 법인 명의 차량을 쏘카처럼 비대면으로 이용할 수 있는 서비스다. 차량에 설치된 단말기를 통해 차량의 상태와 위치, 블랙박스 등 모든 것을 통합 관리할 수 있다. 법인 고객은 해당 서비스로 차량 운영과 관리에 들어가는 비용을 크게 절감할 수 있을 것으로 기대된다. 쏘카는 앞으로도 344만대에 달하는 법인 명의 차량을 보다 효과적으로 관리할 수 있는 방안과 서비스를 계속해서 선보일 계획이다.모빌리티 업체 차봇모빌리티는 올해 초 현대자동차그룹과 커넥티드카 연동 서비스를 시작했다. 현대차의 차량 데이터 플랫폼 ‘현대차·기아·제네시스 디벨로퍼스’와 차봇 앱을 연동한 서비스다. 커넥티드카로 수집되는 주행거리를 기반으로 맞춤형 차량 관리를 받을 수 있다. 해당 서비스는 블루링크와 기아 커넥트, 마이 제네시스 계정이 있는 사용자라면 누구나 차봇 앱 회원 가입 후 계정을 연동해 이용할 수 있다.티맵모빌리티는 BMW와 손잡고 국내 판매 BMW 차량을 대상으로 티맵 기반의 한국형 내비게이션을 적용했다. BMW X1과 2시리즈 액티브 투어러를 시작으로 올해 출시 예정인 BMW 뉴 X2와 뉴 MINI 모델에 적용할 예정이다. 벤츠도 지난 1월 신형 E클래스를 선보이며 국내 출시 차량에 티맵 내비게이션을 장착하겠다고 발표했다. 수입차 구매자들의 가장 큰 불만이었던 한국 지형에 맞지 않는 내비게이션이 이번을 계기로 크게 개선될 것으로 보인다. 포르쉐도 티맵모빌리티와 협력을 논의 중인 것으로 알려졌다.○우티 서비스, 택시 업계 반발로 무산우티는 택시 호출 플랫폼의 서비스명을 ‘우버 택시’로 변경하면서 국내외 글로벌 통합 서비스 제공에 본격적으로 나섰다. 이번 리브랜딩으로 한국을 방문하는 외국인 관광객은 해외에서 쓰던 우버앱을 국내에서도 별도 앱 전환 없이 사용할 수 있게 됐다. 우티는 국내 최초로 중형 택시를 대상으로 한 택시 예약 서비스를 도입했다. 친환경 전기차 호출 서비스(그린)도 시작할 계획이다. 우티는 올해 초 프리미엄 모빌리티 서비스 ‘블랙’을 출시했으나 한 달 만에 중단됐다. 블랙 서비스는 의전이 필요한 기업 고객과 한국을 방문하는 외국인 대상으로 고급 세단과 전문 수행 기사를 제공하는 운송 서비스다. 당시 택시 업계에서 “사업 계획과 달리 일반인도 우티의 블랙 서비스를 이용할 수 있다”며 반발한 것으로 알려졌다.장강호 기자 callme@hankyung.com
3

3개월 만에 사표 쓴 MZ직원…"조기퇴사 막을 해법 찾아라"

직장을 다니면서 다른 직장으로 바로 이직하는 ‘잡호핑 족(族)’이 늘어나면서 이들을 잡기 위한 대책을 마련하는 회사들이 늘어나고 있다. 상시 성과관리를 통해 소통을 늘리는가 하면 채용 단계부터 회사와 맞는 인재를 뽑는 데 자원을 쏟아붓고 있다.최근 잡코리아가 중소기업 671개사의 인사 담당자를 대상으로 진행한 설문에 따르면 ‘신입사원 중 1년 이내에 퇴사한 직원이 있냐’는 질문에 응답자 87.5%는 ‘있다’고 답했다. 1년 이내 퇴사한 직원의 비율은 17.1%였다. 퇴사 시기의 경우 ‘입사 후 3개월 이내’가 56.4%를 기록했다.직원이 회사에 밝힌 퇴사 이유는 ‘업무가 생각했던 것과 달라서(45.7%·복수응답)’가 가장 많았다. ‘업무가 적성에 맞지 않아서’가 41.4%였다. ‘다른 기업에 취업했다(36.4%)’ ‘기업문화가 맞지 않는다(22.9%)’로 이어졌다. 회사 혹은 업무와 잘 맞지 않는다고 판단한 신입사원들 상당수가 3개월 안에 회사를 그만두고 있는 셈이다.스타트업이나 중소기업의 경우 직원들의 퇴사나 이직이 더욱 잦다. 인재 유출을 막기 위한 ‘리텐션(잔존율)’을 높이는 데 회사들이 자원을 투입하는 이유다. 리텐션 관리를 위해 성과관리 플랫폼을 활용하는 게 대표적이다. 디웨일이 운영하는 성과관리 플랫폼 클랩은 직원들의 업무 성과를 데이터화한다. 인공지능(AI)를 활용해 피드백을 준다. 연말에 한 번 실시하는 정량 평가가 아닌 상시 성과관리로 MZ세대 직원들의 리텐션을 높이는 데 도움을 준다는 게 회사 측 설명이다.클랩 관계자는 “수시로 목표를 체크하고 상시 피드백을 주고받아야 직원들은 회사에 기여하고 있음을 느끼고, 자신의 성장도 직관적으로 확인할 수 있다”며 “상시 성과관리는 구성원끼리 불필요한 오해를 없애 퇴사율을 낮추는 효과가 있다”고 설명했다.채용 단계부터 회사와 맞는 인재를 찾을 수 있도록 채용 솔루션도 활용한다. 두들린이 운영하는 그리팅은 채용 공고부터 서류 평가, 면접, 합격 안내까지 채용 과정 전체를 관리하는 솔루션이다. 기업들이 채용사이트를 쉽게 만들 수 있도록 제작도 지원한다. 두들린 관계자는 “기업 채용 사이트는 브랜딩에 굉장히 중요하다”며 “기업 문화와 잘 맞는 인재를 찾으려면 회사를 제대로 알리려는 노력부터 해야 한다”고 했다.조직 적응성과 직무 적합성 등을 예측할 수 있는 역량검사 단계도 중요해졌다. 무하유의 역량검사는 AI 알고리즘을 활용해 지원자의 인성부터 직무매칭률, 직무의지, 부적응 가능성 등을 종합적으로 진단한다. AI가 평가 내용을 요약하고 구체적인 해석 코멘트를 제공한다.고은이 기자 koko@hankyung.com