인공지능(AI) 기술 발전으로 혁신 기술이 끊임없이 개발되고 새로운 서비스·가치가 탄생하는 AI 시대를 살아가고 있다. 못지않게 해킹, 사이버 공격 등이 진화돼 개인·기업·공공기관 등 대상을 가리지 않고 공격하고 막대한 피해가 발생하고 있다.
최근 SK텔레콤 유심 해킹 사건을 비롯해, 공공기관·대기업을 겨냥한 지능형 위협(APT), 랜섬웨어 공격 등이 연이어 발생하며 보안의 근본적인 전환 요구가 높아지고 있다. 이반티 등 특정업체 가상사설망(VPN) 장비 취약점을 악용한 APT형 공격과 클라우드 환경을 노린 해킹 역시 기존 경계 보안 한계를 보여주는 대표 사례다.
업무환경이 클라우드 중심으로 전환되고 원격근무, 모바일 기기 사용 증가, 외부 협력사와의 네트워크 공유가 일상이 되면서 내·외부 경계는 사실상 사라졌다. 이 같은 현실 속 보안의 새 기준으로 제시되는 것이 바로 '제로트러스트(Zero Trust)'다.
제로트러스트 용어는 1994년 '스티븐 폴마시'가 스털링대 논문에서 처음 사용했고 '아무도 신뢰하지 않고 모든 접속과 행위를 검증한다'는 보안 철학이다. 전통적인 보안 체계가 내부 네트워크를 신뢰하고 외부만 방어하는'경계형 보안' 모델이었다면, 제로트러스트는 모두를 불신하고 위협이 언제 어디서나 발생할 수 있다는 전제 아래 요건을 갖추지 않은 사용자가 서버에 접근하지 못하도록 제한하는 구조다.
◇ 급증하는 보안 사고와 제로트러스트의 필요성
최근 연이어 발생한 SK텔레콤 USIM 해킹과 테슬라 내부자 유출 사건은 핵심 인프라를 우회하거나 내부 권한을 악용한 위협이 현실화함을 보여준다. 이처럼 내·외부 경계가 무의미해진 환경에서는 모든 접속을 검증하고 세분화된 통제로 보호하는 제로트러스트 보안 체계 전환이 필수 과제로 부상하고 있다.
미국 국립표준기술연구소(NIST)는 2010년 보고서를 통해 제로트러스트 아키텍처를 제시했고, 2020년 제로트러스트 모델 버전 1.0을 발표하며 보안 측면 취약점을 극복하고자 했다.
우리나라 과학기술정보통신부도 국내 실정에 맞는 제로트러스트 가이드라인 1.0을 2023년 발간했고, 이후 기술적 조치 사후 보안 평가와 구체적 실행 방안이 가능한 버전 2.0을 2024년 12월 발간해 추진 중이다다.
제로트러스트 보안 모델은 단발성 로그인 인증이 아니라, 정기적으로 사용자 권한·맥락을 평가하고 사용자에게 업무 수행에 필요한 최소한 접근 권한만을 부여한다. 또 네트워크를 구간별로 나눠 각 영역 접근을 별도로 통제하는 마이크로 세분화 방식과 사용자 행위 패턴과 이상 징후를 실시간 분석해 보안을 강화한다.
제로트러스트는 기술 이전에 철학이다. 물론 모든 보안 문제를 해결하는 '은탄환'은 아니다. 그러나 더 정교해지고, 급변하는 위협 환경 속에 보안은 더 이상 선택이 아니라 생존 문제이며, 제로트러스트는 그 해답의 시작점이 될 수 있을 것이다.
◇ 제로트러스트 한계와 향후 과제
제로트러스트가 보안 미래로 주목받으나, 전면 도입·확산에는 현실적인 어려움이 존재한다. 지속적인 인증 요구는 업무 효율성과 사용자 만족도에 부정적인 영향을 미칠 수 있고, 제로트러스트 구현에 필요한 통합 인증 체계, AI 기반 위협 탐지 등 기술 인프라·인력도 부족하다. 지속적이고 점진적인 진화 과정이 요구돼 비용 증가 등을 극복해야 한다.
사용자 행위·리스크를 실시간 분석해 자동조정하는 AI 기반 제로트러스트 보안으로 세계가 빠르게 변모하고 있다. 우리나라도 관련 법개정으로 도입을 의무화하고 대국민 인식제고가 필요하다. 또 성공사례를 발굴해 적합한 보안 체계를 구축하도록 홍보하고 도입한 기업에 세제 혜택, 수수료 감면 등 부양책도 필요하다.
그러나 현실적으로 제로트러스트 인식이 부족하고 구축에 오랜 시일이 소요되는 문제점이 있다. 제로트러스트는 네트워크 기능과 클라우드 기반 보안을 통합한 보안 접근 서비스(SASE) 아키텍처와의 결합을 통해 더 넓은 영역에서 구현될 것이고, 멀티·하이브리드 클라우드, 사물인터넷(IoT) 기기 보호에도 필수 전략으로 자리잡을 것이다.
[출처 : 전자신문]
'보안뉴스' 카테고리의 다른 글
| 대전 우주 분야 산학연 혁신연구센터 들어서나... 과기정통부 공모 결과 관심 (1) | 2025.05.23 |
|---|---|
| 드론떼 잡는 안티드론 등장 ... K방산 '새 기회' 열려 (0) | 2025.05.13 |
| 드론이 바꾼 전쟁터... 4억짜리로 700억 러 전투기 격추 (2) | 2025.05.13 |
| [사설] 보안, 기업 존폐 문제로 다뤄야 (0) | 2025.05.09 |
| SKT 유심 해킹사태에 유통 . 물류업계도 '보안강화 대책 가동 (2) | 2025.05.09 |