2013년 언론과 금융권을 대상으로 해킹을 시도해 전산망을 마비시킨 '후이즈' 팀의 해킹 메시지
2013년 언론과 금융권을 대상으로 해킹을 시도해 전산망을 마비시킨 '후이즈' 팀의 해킹 메시지
정부기관과 반도체 기업, 금융권을 대상으로 다양한 한 사이버 공격이 늘고 있다. 디도스(DDoS·분산서비스거부), 랜섬웨어, 피싱 등 형태를 가리지 않고 해킹이 지속되면서 근본적인 해결 방안으로 '제로 트러스트' 보안 모델을 도입해야 한다는 목소리가 커지는 상황이다. 하지만 현직 보안 담당자조차 제로 트러스트를 모르는 경우가 많아 정부 차원의 정책 마련이 시급하다는 지적이다.

AI 시대, 기존과 다른 보안 모델 도입 시급

8일 보안업계에 따르면 생성형 인공지능(AI) 시대가 본격화한 지난해부터 해킹이 기승을 부리자, 이전과는 차원이 다른 보안 모델을 도입해야 한다는 주장이 힘을 받고 있다. 대안으로 제시된 것이 제로 트러스트다.

제로 트러스트는 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다. 용어 그대로 '아무도 믿지말라'는 원칙이 기본 전제다. 내부 직원을 포함해 이용자에 대한 신뢰를 제거하고, 모든 액세스(접근 과정)를 반복 검증함으로써 보안 강도를 획기적으로 높이기 위한 시스템이다. '입구만 잘 지키는' 기존의 보안 체계와 달리 제로 트러스트는 서버, 컴퓨팅, 데이터 등을 각각 분리해 보호하기 때문에 특정 시스템이 뚫려도 다른 시스템은 지킬 수 있다. 신원이 확실해도 최소한의 접근 권한만 부여하는 데다 다양한 추가 인증 절차를 둔 덕분에 내부자와의 공조도 불가능하다.

제로 트러스트가 부상한 것은 생성형 AI, 6G, 클라우드, 사물인터넷(IoT)의 확산으로 해킹 경로가 다양해져서다. 원격 근무와 관련이 없던 제조업에서도 디지털전환(DX) 도입이 속도를 내면서 제로 트러스트 필요성은 정보기술(IT) 업계를 넘어 산업계 전반으로 확산하는 모양새다.
사진=게티이미지뱅크
사진=게티이미지뱅크
하지만 기업들 사이에선 제로 트러스트가 여전히 낯선 개념이다. 유진호 상명대 교수가 한국인터넷진흥원(KISA)의 '제로 트러스트 보안모델 실증 지원사업' 성과공유회에서 공개한 '국내 제로 트러스트 관련 산업 실태 조사' 결과에 따르면 국내 정보보호 공시 대상 기업 200개 중 6.5%만 '제로 트러스트에 대해 자세히 알고 있다'고 답했다. '전혀 모른다'는 62.5%, '들어봤지만 자세히 알지 못한다'는 31%로 집계됐다.

'제로트러스트를 적용하고 있다'는 응답은 더 적어 2.5%에 그쳤다. '도입 계획이 없다'는 응답이 77%에 달했고, 17.5%는 '도입 의사는 있지만 어떻게 해야 하는지 모른다'고 답했다. 3.0%는 '현재 적용하고 있지 않지만 도입 계획이 있다'고 응답했다. 도입에 적극적이지 않은 이유로는 62%가 '정보 부족'을 꼽았다. 이어 '보안 강화 필요성을 못 느껴서' 23.6%, '임원진의 보안의식 부족' 14.7%, '도입비용 부담' 4.6%, '도입 시 업무상 불편성 증가' 2.9%로 나타났다.

제로트러스트 도입을 주저하는 사이 해킹이 증가하는 추세다. KISA에 따르면 사이버 침해 신고 건수는 2020년 630건, 2021년 640건, 2022년 1142건, 지난해 1227건으로 2년 만에 두 배가량 불어났다. 디도스 공격은 2020년 213건, 2021년 123건, 2022년 122건으로 감소 흐름을 보이다 지난해 다시 213건으로 늘었다. 특히 중소기업이 전체 사이버 피해 건수의 81%에 이른 것으로 조사됐다.

해커들이 중소기업을 겨냥하는 이유는 규모가 작을수록 정보보호에 투자할 여력이 부족해서다. 한국정보보호산업협회(KISIA)의 '2023년 정보보호 실태조사'에 따르면 250인 이상 기업 70.6%가 정보보호 조직을 보유한 반면 50~249인 기업은 49.6%, 50인 미만 기업은 27.4%에 불과했다.

제로트러스트는 사이버 보안 업계의 미래 먹거리

해외에선 제로트러스트를 앞다퉈 도입하고 있다. 미국은 2019년 국립표준기술원(NIST)이 '제로트러스트 아키텍처'를 공개하며 새로운 사이버 안보 가이드라인을 마련했다. 영국은 국가사이버보안센터(NCSC)가 2021년 7월 '제로트러스트 아키텍처 설계 원칙'을 제시했다. 일본은 2020년 6월 정부 정보시스템에서 '제로트러스트 적용을 위한 사고방식'을 도입했다. 중국은 2022년 6월 '제로트러스트 참조 아키텍처' 초안을 발표했다. 싱가포르는 2021년 10월 정부 사이버 보안 현대화에 제로트러스트 도입 전략을 내놨다.

한국은 과학기술정보통신부가 2022년 10월 '제로 트러스트·공급망 보안 포럼'을 발족했고, 지난해엔 KISA와 함께 '제로 트러스트 가이드라인 1.0'을 발표했다. 올해에는 좀 더 체계적인 내용으로 고도화한 '제로 트러스트 가이드라인 2.0'를 배포할 계획이다. 또 과기정통부는 오는 16일 제로트러스트 사업 설명회를 개최하고, '제로트러스트 도입·확산 지원사업' 및 '제로트러스트 도입·전환 컨설팅' 사업의 참여를 희망하는 정부·공공 및 기업 관계자를 대상으로 세부 계획을 설명할 계획이다.
사진=게티이미지뱅크
사진=게티이미지뱅크
다만 여전히 제로트러스트에 대한 관심이 적다는 지적이 나온다. 업계 관계자는 "정부 차원에서 실무자 중심으로 제로트러스트 홍보를 강화할 필요가 있다"며 "제로트러스트 교육 프로그램을 만들고, 이를 수료하는 기업에 세제 혜택 등의 지원을 늘리는 정책도 고려해볼만 하다"고 말했다.

제로트러스트가 사이버 보안 업계의 미래 먹거리가 될 것이란 분석도 나온다. 시장조사기관 마켓앤마켓에 따르면 제로트러스트 보안 시장은 2020년 196억달러에서 2026년 516억달러 규모로 성장할 전망이다. 제로트러스트가 가장 효과적일 것으로 예상되는 글로벌 클라우드 보안 시장 규모는 지난해 407억달러(54조3000억원)에서 2028년 629억달러(약 84조원)로 성장할 것으로 분석됐다.

류제명 과기정통부 네트워크정책실장은 "산·학·연과 지속 협력해 제로트러스트, AI 보안 등 차세대 보안 표준화를 국제사회에서 선제적으로 주도할 수 있도록 지원하겠다"고 말했다. 정창림 과기정통부 정보보호네트워크정책관은 "갈수록 지능화·고도화되는 사이버 위협에 대응하기 위해 적극적인 제로트러스트 보안의 확산이 필요하다"며 "정부는 '제로트러스트 新보안체계'를 적극 확산시켜 국민이 안심하고 일상 생활을 영위할 수 있도록 사이버보안 수준을 높일 것"이라고 강조했다.

강경주 기자 qurasoha@hankyung.com