제로트러스트 시대 열린다…과기정통부, 시범사업 본격 추진

강경주 기자

입력2024.04.08 12:57 수정2024.04.08 12:57

과학기술정보통신부와 한국인터넷진흥원(KISA)은 공공기관과 민간 기업을 대상으로 제로트러스트' 시범사업을 본격 추진한다고 8일 밝혔다. 올해부터 업무망 환경에 제로트러스트가 적용될 수 있도록 지원한다는 계획이다.

제로 트러스트는 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다. 용어 그대로 '아무도 믿지말라'는 원칙이 기본 전제다. 내부 직원을 포함해 이용자에 대한 신뢰를 제거하고, 모든 액세스(접근 과정)를 반복 검증함으로써 보안 강도를 획기적으로 높이기 위한 시스템이다.

'입구만 잘 지키는' 기존의 보안 체계와 달리 제로 트러스트는 서버, 컴퓨팅, 데이터 등을 각각 분리해 보호하기 때문에 특정 시스템이 뚫려도 다른 시스템은 지킬 수 있다. 신원이 확실해도 최소한의 접근 권한만 부여하는 데다 다양한 추가 인증 절차를 둔 덕분에 내부자와의 공조도 불가능하다.

과기정통부와 KISA는 지난해 10억원 규모의 제로트러스트 실증 지원사업을 시작한 데 이어 올해는 45억원을 투입해 수요 기관이 본격적으로 제로트러스트 보안 체계를 도입해 운영할 수 있도록 지원할 방침이다.

올해 사업에서는 과기정통부와 국가정보원, 디지털플랫폼정부위원회가 정부, 공공기관의 제로트러스트 보안 체계 도입과 확산을 위해 협력한다. 또한 기업 등을 대상으로 제로트러스트 도입·전환 컨설팅을 제공하기로 했다. 오는 16일 시범사업 설명회를 개최하며, KISA 누리집에서 상세 정보를 확인할 수 있다.

강경주 기자 qurasoha@hankyung.com

관련 뉴스

1

대범해진 '데이터 유괴'…'이것' 모르면 'IT 자산' 다 뺏긴다 [강경주의 IT카페]

정부기관과 반도체 기업, 금융권을 대상으로 다양한 한 사이버 공격이 늘고 있다. 디도스(DDoS·분산서비스거부), 랜섬웨어, 피싱 등 형태를 가리지 않고 해킹이 지속되면서 근본적인 해결 방안으로 '제로 트러스트' 보안 모델을 도입해야 한다는 목소리가 커지는 상황이다. 하지만 현직 보안 담당자조차 제로 트러스트를 모르는 경우가 많아 정부 차원의 정책 마련이 시급하다는 지적이다.AI 시대, 기존과 다른 보안 모델 도입 시급8일 보안업계에 따르면 생성형 인공지능(AI) 시대가 본격화한 지난해부터 해킹이 기승을 부리자, 이전과는 차원이 다른 보안 모델을 도입해야 한다는 주장이 힘을 받고 있다. 대안으로 제시된 것이 제로 트러스트다.제로 트러스트는 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다. 용어 그대로 '아무도 믿지말라'는 원칙이 기본 전제다. 내부 직원을 포함해 이용자에 대한 신뢰를 제거하고, 모든 액세스(접근 과정)를 반복 검증함으로써 보안 강도를 획기적으로 높이기 위한 시스템이다. '입구만 잘 지키는' 기존의 보안 체계와 달리 제로 트러스트는 서버, 컴퓨팅, 데이터 등을 각각 분리해 보호하기 때문에 특정 시스템이 뚫려도 다른 시스템은 지킬 수 있다. 신원이 확실해도 최소한의 접근 권한만 부여하는 데다 다양한 추가 인증 절차를 둔 덕분에 내부자와의 공조도 불가능하다.제로 트러스트가 부상한 것은 생성형 AI, 6G, 클라우드, 사물인터넷(IoT)의 확산으로 해킹 경로가 다양해져서다. 원격 근무와 관련이 없던 제조업에서도 디지털전환(DX) 도입이 속도를 내면서 제로 트러스트 필요성은 정보기술(IT) 업계를 넘어 산업계 전반으로 확산하는 모양새다.하지만 기업들 사이에선 제로 트러스트가 여전히 낯선 개념이다. 유진호 상명대 교수가 한국인터넷진흥원(KISA)의 '제로 트러스트 보안모델 실증 지원사업' 성과공유회에서 공개한 '국내 제로 트러스트 관련 산업 실태 조사' 결과에 따르면 국내 정보보호 공시 대상 기업 200개 중 6.5%만 '제로 트러스트에 대해 자세히 알고 있다'고 답했다. '전혀 모른다'는 62.5%, '들어봤지만 자세히 알지 못한다'는 31%로 집계됐다.'제로트러스트를 적용하고 있다'는 응답은 더 적어 2.5%에 그쳤다. '도입 계획이 없다'는 응답이 77%에 달했고, 17.5%는 '도입 의사는 있지만 어떻게 해야 하는지 모른다'고 답했다. 3.0%는 '현재 적용하고 있지 않지만 도입 계획이 있다'고 응답했다. 도입에 적극적이지 않은 이유로는 62%가 '정보 부족'을 꼽았다. 이어 '보안 강화 필요성을 못 느껴서' 23.6%, '임원진의 보안의식 부족' 14.7%, '도입비용 부담' 4.6%, '도입 시 업무상 불편성 증가' 2.9%로 나타났다.제로트러스트 도입을 주저하는 사이 해킹이 증가하는 추세다. KISA에 따르면 사이버 침해 신고 건수는 2020년 630건, 2021년 640건, 2022년 1142건, 지난해 1227건으로 2년 만에 두 배가량 불어났다. 디도스 공격은 2020년 213건, 2021년 123건, 2022년 122건으로 감소 흐름을 보이다 지난해 다시 213건으로 늘었다. 특히 중소기업이 전체 사이버 피해 건수의 81%에 이른 것으로 조사됐다.해커들이 중소기업을 겨냥하는 이유는 규모가 작을수록 정보보호에 투자할 여력이 부족해서다. 한국정보보호산업협회(KISIA)의 '2023년 정보보호 실태조사'에 따르면 250인 이상 기업 70.6%가 정보보호 조직을 보유한 반면 50~249인 기업은 49.6%, 50인 미만 기업은 27.4%에 불과했다.제로트러스트는 사이버 보안 업계의 미래 먹거리해외에선 제로트러스트를 앞다퉈 도입하고 있다. 미국은 2019년 국립표준기술원(NIST)이 '제로트러스트 아키텍처'를 공개하며 새로운 사이버 안보 가이드라인을 마련했다. 영국은 국가사이버보안센터(NCSC)가 2021년 7월 '제로트러스트 아키텍처 설계 원칙'을 제시했다. 일본은 2020년 6월 정부 정보시스템에서 '제로트러스트 적용을 위한 사고방식'을 도입했다. 중국은 2022년 6월 '제로트러스트 참조 아키텍처' 초안을 발표했다. 싱가포르는 2021년 10월 정부 사이버 보안 현대화에 제로트러스트 도입 전략을 내놨다.한국은 과학기술정보통신부가 2022년 10월 '제로 트러스트·공급망 보안 포럼'을 발족했고, 지난해엔 KISA와 함께 '제로 트러스트 가이드라인 1.0'을 발표했다. 올해에는 좀 더 체계적인 내용으로 고도화한 '제로 트러스트 가이드라인 2.0'를 배포할 계획이다. 또 과기정통부는 오는 16일 제로트러스트 사업 설명회를 개최하고, '제로트러스트 도입·확산 지원사업' 및 '제로트러스트 도입·전환 컨설팅' 사업의 참여를 희망하는 정부·공공 및 기업 관계자를 대상으로 세부 계획을 설명할 계획이다.다만 여전히 제로트러스트에 대한 관심이 적다는 지적이 나온다. 업계 관계자는 "정부 차원에서 실무자 중심으로 제로트러스트 홍보를 강화할 필요가 있다"며 "제로트러스트 교육 프로그램을 만들고, 이를 수료하는 기업에 세제 혜택 등의 지원을 늘리는 정책도 고려해볼만 하다"고 말했다.제로트러스트가 사이버 보안 업계의 미래 먹거리가 될 것이란 분석도 나온다. 시장조사기관 마켓앤마켓에 따르면 제로트러스트 보안 시장은 2020년 196억달러에서 2026년 516억달러 규모로 성장할 전망이다. 제로트러스트가 가장 효과적일 것으로 예상되는 글로벌 클라우드 보안 시장 규모는 지난해 407억달러(54조3000억원)에서 2028년 629억달러(약 84조원)로 성장할 것으로 분석됐다.류제명 과기정통부 네트워크정책실장은 "산·학·연과 지속 협력해 제로트러스트, AI 보안 등 차세대 보안 표준화를 국제사회에서 선제적으로 주도할 수 있도록 지원하겠다"고 말했다. 정창림 과기정통부 정보보호네트워크정책관은 "갈수록 지능화·고도화되는 사이버 위협에 대응하기 위해 적극적인 제로트러스트 보안의 확산이 필요하다"며 "정부는 '제로트러스트 新보안체계'를 적극 확산시켜 국민이 안심하고 일상 생활을 영위할 수 있도록 사이버보안 수준을 높일 것"이라고 강조했다.강경주 기자 qurasoha@hankyung.com
2

체인라이트 "올해 새로운 사이버 범죄 등장할 것…ZK프로토콜 해킹 우려"

"2024년은 가상자산(암호화폐), 블록체인 프로젝트를 대상으로 한 사이버 범죄나 버그 발생에 각별한 주의가 필요한 시기입니다. 저희는 보안 감사를 통해 웹3에서 프로젝트들이 완벽한 사업을 이어나갈 수 있도록 돕고자 합니다"사이버 보안 회사 티오리(Theori)의 웹3 보안 전문 브랜드 체인라이트(Chainlight)의 임준오 리드는 5일 블루밍비트와의 인터뷰에서 올해의 목표를 이같이 밝혔다.특히 올해부터는 웹3 업계에서 완전히 새로운 사이버 범죄들이 발생할 수 있다는 전망이다. 영지식증명(Zero-Knowledge Proof, ZKP)과 같은 떠오르는 기술의 프로토콜들이 범죄의 대상이 될 수 있어 유의해야 한다고 봤다. 웹3 핵심 기술로 떠오른 '영지식증명'…본격 범죄 타겟 우려 임 리드는 "사실 여태까지 웹3와 가상자산 업계에서의 해킹이라 하면 보통 탈중앙화금융(디파이, Defi)나 브릿지 등 취약한 부분을 공격하는 경우가 대부분이었으나, 2024년부터는 완전히 새로운 형태의 사이버 범죄가 일어날 가능성이 생겼다"라며 "작년부터 웹3에서 핵심으로 떠오른 ZKP 프로토콜이 그 대상이 될 경우 많은 문제가 될 수 있다"라고 말했다.지난해에는 ZKP를 사용한 프로토콜들이 개발되고 있던 단계라면, 올해부터는 이들이 대량의 TVL(총 예치금)을 보유하고 있고, 유저들의 진입도 확대된 상황이기 때문이다. ZKP는 거래 상대방에게 어떠한 정보를 제공하지 않고도 자신이 해당 정보를 가지고 있다는 사실을 증명하는 기술로, 웹3 산업으로의 전환에서 기초 기술로 알려져 있다. 임 리드는 "ZKP의 특성으로 인해 모든 결괏값은 사용자가 입력한 값에 의해 결정되는데, 만약 ZKP가 사이버 범죄의 타겟이 된다면 공격 시점에 해당 프로토콜과 상호작용한 이용자들 모두가 피해를 입는 상황이 일어날 수 있다"라고 설명했다.더불어 기존 웹2 사업체들이 웹3로의 전환을 도모할 때 ZKP 기술이 핵심이 되는 만큼 ZKP에 어떤 결함이나 취약점이 있는지 잘 살펴야 한다고 강조했다.임 리드는 "최근 웹2 사업체들에도 ZKP가 도입되고 있는 데 여전히 오류가 많이 발생하고 있다"라며 "설계가 잘 되어 있지 않은 ZKP는 사업에 도움이 되기보다 오히려 큰 리스크를 발생시킬 수 있다"고 지적했다. 이어 "기업들이 ZKP를 도입해 사업성을 끌어올리고 투명성을 강화하려는 시도는 좋지만, 보안과 감사를 통해 완벽한 프로토콜을 만드는 것이 선제조건이 되어야 한다"고 덧붙였다. 강세장 도래한 웹3 업계…보안과 감사에 더욱 신경써야 또한 임 리드는 블록체인과 가상자산 업계에서 보안은 더욱 중요해질 것이라고 강조했다. 그는 "프로젝트에 돈이 많이 몰릴 수록 해커나 범죄자 등의 공격은 더욱 거세진다"라며 "특히 웹3는 웹2와 달리 감독하는 기관의 숫자가 적고 현금화가 쉬운 만큼 주요 먹잇감이 될 수 있다"고 우려했다. 개발자(빌더) 측면에서 감사의 중요성에 대해서도 언급했다. 임 리드는 "빌더들 입장에서는 이런 강세장이 왔을 때 빠르게 프로젝트를 출시하고 싶어하는 것이 당연하다"면서도 "진행을 빠르게 하다보면 어쩔 수 없이 놓치는 부분이 발생할 수 있는데 감사를 통해 완벽한 프로젝트를 내놓는 것이 프로젝트에도 고객에게도 긍정적인 측면이 많다"고 말했다.체인라이트는 현재 업비트, 대체불가능토큰(NFT) 마켓플레이스 '블러(Blur)', zk싱크(zkSync), 계정추상화 업체 바이코노미(Biconomy) 등 웹3 업체들의 보안 감사를 맡고 있다. 특히 버그 바운티 활동을 통해 'zk싱크'와 옵티미즘(OP) 기반 탈중앙화금융 '퍼페튜얼 프로토콜'의 취약점을 찾아내 19억 달러가 넘는 규모의 피해를 예방하기도 했다. 투자자들에게 특정 플랫폼들의 취약점을 알려주기 위한 플랫폼 '디지털 에셋 리스크 트랙커(Digital Asset Risk Tracker, Dart)'도 운영 중이다.진욱 블루밍비트 기자 wook9629@bloomingbit.io <블록체인·가상자산(코인) 투자 정보 플랫폼(앱) '블루밍비트'에서 더 많은 소식을 받아보실 수 있습니다>
3

"중국 비판하면 공격"…中 해커집단, 결국 美에 혼쭐 났다

미국과 영국이 중국 정부의 지원을 받는 해커 집단이 자국을 상대로 광범위한 사이버 공격을 가했다며 제재를 가했다. 영국 정보기관은 자국 정치인들에게 소셜미디어(SNS) 앱 내 메시지 자동 삭제 기능을 활성화하라는 지침을 내렸다. 중국 정부는 “미국이 가해자”라며 강하게 반발하고 나섰다.AP통신 등에 따르면 미 법무부는 25일(현지시간) ‘APT31’이라는 이름으로 알려진 중국 해커 조직 소속 중국인 7명을 기소했다. 법무부는 공소장에 이들이 “국방 등 국가 경제적 측면에서 중요한 기업과 연방정부, 의회 관계자들에게 1만개 이상의 악성 이메일을 보냈다”고 적시했다. 해당 이메일을 열면 계정 주인의 위치와 IP 주소, 이메일을 보기 위해 사용한 장치가 무엇인지까지 추적해 낼 수 있는 소프트웨어가 심겨 있었다.APT31은 중국 우한 지역에 기반을 둔 단체로 알려졌다. 이 단체는 2010년부터 중국 정부에 비판적인 해외 관료, 언론인, 기업인, 정치인 등을 상대로 해킹을 벌여 왔다고 미 법무부는 밝혔다. 백악관을 비롯해 경제 정책을 주관하는 재무부·상무부·법무부 소속 관료들과 이들의 배우자, 양당 상원의원들, 정치 전략가, 민주주의 옹호 단체 소속 활동가 등이 표적에 올랐다.메릭 갈랜드 미 법무장관은 별도 성명에서 “중국 정부가 자국에 대한 비판 세력을 표적 삼아 위협하려 한다는 사실을 상기시키는 사건”이라며 “법무부는 대중을 위해 봉사하는 미국인들을 협박하거나, 미국의 법으로 보호받는 반체제 인사들을 침묵하게 하거나, 미국 기업들의 기밀을 훔치려는 중국 정부의 시도를 용납하지 않을 것”이라고 밝혔다.미 법무부는 APT31의 사이버 공격 대상에 43개의 영국 의회 관련 계정도 포함돼 있다고 알렸다. 영국 정부는 이와 관련, APT31이 “중국 방첩기관인 국가안전부를 대신해 사이버 스파이 활동을 벌였다”며 이 단체 소속 2명에 자산 동결, 여행 금지 등의 제재를 부과했다. 또 APT31과 관련이 있는 것으로 확인된 우한 소재 샤오루이지과학기술회사를 블랙리스트에 올렸다.영국 정부는 APT31이 영국인 4000만 명의 개인정보에 접근하기 위해 2021~2022년 영국 선거관리위원회 서버를 해킹했다고도 주장했다. 올리버 다우든 부총리는 “APT31이 영국 의원들을 상대로 정찰 활동을 벌인 것이 거의 확실하다고 정보당국이 결론을 내렸다”고 밝혔다. 보수당 당수를 지냈던 이안 던컨 스미스를 포함한 의원 3명은 기자들과 만나 “나를 사칭한 해커들이 가짜 이메일 주소를 활용했다”며 피해 사실을 직접 밝히고 나섰다. 데이비드 캐머런 영국 외무장관은 “중국 공산당 산하의 개인·기관이 영국의 민주적 제도와 정치과정을 표적으로 삼은 건 절대 용납할 수 없는 일”이라면서 왕이 중국 공산당 중앙외사판공실 주임 겸 외교부 장관에 문제를 제기했다고 알렸다. 다우든 부총리는 자국 주재 중국 대사를 초치해 항의하겠다고 알렸다.중국 정부는 즉각 반발했다. 미 워싱턴 주재 중국 대사관의 류펑위 대변인은 “사실무근”이라며 “중국은 모든 형태의 사이버 공격에 단호히 반대하며 엄격히 단속한다”고 밝혔다. 그는 되려 “중국은 피해자”라며 “사이버 공격의 시초는 미국에서 시작됐으며, 미국이 최대 가해자”라고 지적했다. 영국 런던 주재 중국 대사관도 “완전히 조작된 것이자 악의적 비방”이라며 “우리는 이에 강력히 반대한다”는 입장을 냈다.같은 날 영국 도·감청 전문 정보기관인 정보통신본부(GCHQ) 산하 사이버보안센터는 국회의원과 같은 “고위험군 개인”들을 대상으로 “왓츠앱, 시그널 등 SNS 앱 내 ‘사라지는 메시지’ 기능을 활성화하라”는 지침을 내렸다. 이 기능은 전송 후 일정 시간이 지나면 메시지를 자동으로 삭제한다. 영국은 리시 수낵 총리가 중국을 “한 시대를 정의하는 도전”이라고 규정한 뒤로 중국과 긴장 관계를 지속하고 있다. 장서우 기자 suwu@hankyung.com