[기획특집] 2025 제로 트러스트 시범사업 줌인

[컴퓨터월드] 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관하는 2025년 제로 트러스트 도입 시범사업을 수행할 6개 컨소시엄이 확정됐다. 지난해 4개 대비 50% 확대된 6개 컨소시엄 체제로 출범한 올해 사업을 통해 국내 민간 부문의 사이버 보안 패러다임 전환이 본격화될 것으로 기대된다. 이번 시범사업은 과제당 최대 7억 원씩 총 42억 원 규모로 추진되며, 주로 금융권 수요처로 다수 포함된 가운데 그 외 다양한 산업 분야에서까지 제로 트러스트 보안의 실질적 적용과 검증이 이뤄질 예정이다. 특히 각 컨소시엄은 인공지능(AI) 클라우드 보안, 양자내성암호화(PQC), 소프트웨어 정의 경계(SDP) 등 차세대 보안 기술을 융합한 혁신적 접근으로 업계의 기대를 받고 있다.

제로 트러스트, 보안 전략의 핵심으로 부상

최근 급변하는 디지털 전환기 가운데 랜섬웨어 공격과 데이터 유출 사고가 날로 심화되면서, 기존의 경계 기반 보안 모델의 한계가 명확히 드러나고 있다. 클라우드 기반 서비스와 모바일 기기 사용이 폭발적으로 증가하면서, ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’는 제로 트러스트 보안 패러다임의 도입은 선택이 아닌 필수로 부상했다.

이에 따라 우리 정부는 사이버 보안 업계가 새로운 패러다임 전환의 핵심으로 꼽는 제로 트러스트 보안을 확산하고자 기술적, 제도적 기반 조성에 적극 나서고 있다. 2023년 제로 트러스트 보안 모델의 적용과 실증을 위한 지원사업을 시작으로, 2024년에는 45억 원 규모로 4개 컨소시엄이 참여한 시범사업이 진행됐다. 그리고 올해 역시 42억 원 규모로 다소 예산이 줄긴 했지만 총 6개 컨소시엄으로 시범사업이 확대 진행된다.

특히 최근 국내 망분리 규제 완화 움직임과 국가정보원의 국가망보안체계(N2SF) 도입이 맞물리면서, 제로 트러스트 기반 보안 환경 구축에 대한 수요가 급증하고 있는 상황이다. 미국을 중심으로 본격화된 제로 트러스트 아키텍처가 한국에서도 가이드라인 발표와 포럼 발족을 통해 속도를 내는 한편, 클라우드와 인공지능(AI) 등 신기술 사용 요구에 힘입어 올해 망분리 규제 완화까지 이끌어내 보안 업계에는 많은 변화가 나타나고 있다. 이 때문에 차세대 보안 패러다임인 제로 트러스트에 대한 관심이 높은 상황이다. 6개 컨소시엄이 어떻게 이번 사업을 추진할지 상세히 들여다본다.

SGA솔루션즈 컨소시엄
“3년 연속 제로 트러스트 정부 사업 주관하며 기술력 입증”

정부 제로 트러스트 관련 사업 최다 수행

SGA솔루션즈(대표 최영철)는 컨소시엄 주관사로서 2023년 제로 트러스트 보안 모델 실증사업과 2024년 도입 시범사업에 이어 올해 시범사업까지 3년 연속으로 제로 트러스트 관련 정부 지원 사업을 수주, 이 분야 국내 최다 수행 기업으로 자리매김했다. 국내 제로 트러스트 확산 역사를 주도적으로 써내려 가고 있는 자타공인 대표 기업이라 할 수 있다.

SGA솔루션즈 컨소시엄은 올해 신한은행의 모바일 개발망을 대상으로 사업을 진행하며 ▲금융권 자율보안 체계 구성을 위한 제로 트러스트 아키텍처(ZTA)와 ▲국가망보안체계(N²SF) 기반의 안전한 모바일 개발 환경 체계를 구축하는 것을 궁극적 목표로 삼았다.

이를 위해 제로 트러스트 가이드라인 2.0에서 제시하는 ‘성숙도 4단계’ 수준을 준용하고, 제로 트러스트 세부 역량 기준에 맞춰 안전한 모바일 개발 환경을 구축하게 된다. 또한 국가망보안체계(N²SF)에서 제시하는 연구개발망의 보안통제항목을 ZTA에 기반해 달성한다는 계획이다. 이는 최신 ZTA 보안 모델뿐만 아니라 동시에 새로운 국가보안 정책까지 만족하는 모바일 개발 환경을 구축하는 것을 의미한다.

SGA솔루션즈 측은 “이러한 목표 달성을 통해 수요기업에서는 디지털금융보안법의 선제적 대응을 기반으로 자율보안 체계 전환의 기반을 마련할 수 있다. 또한 제로 트러스트 보안 모델 도입으로 기존에 비해 개선된 연구개발 환경을 보유할 수 있게 돼 금융권 경쟁력을 제고할 수 있게 된다”고 설명했다.

금융권 자율보안 체계 구현 앞장

SGA솔루션즈는 앤앤에스피(NNSP, 대표 김일용), 에스에스알(SSR, 대표 고필주)과 함께 컨소시엄을 구성했다. ‘금융권 자율보안 체계 전환 대응을 위한 제로 트러스트 보안 모델 구축’을 목표로 ▲자율보안 체계 전환을 위한 선제적 보안 체계 확보 ▲제로 트러스트와 N²SF를 결합한 보안 모델 구현 ▲제로 트러스트의 모든 핵심 요소를 포함하는 모델 구현 등을 추진한다.

이를 위해 ▲자율보안 체계 전환 ▲개발 환경 보안 강화 ▲제로 트러스트 가이드라인 2.0 준용 ▲풀스택 ZTA 등 4대 추진 전략을 기반으로 사업을 추진할 예정이다.

각 업체별로 살펴보면, 먼저 주관사인 SGA솔루션즈는 수요기업의 연구개발 환경을 대상으로 제로 트러스트 보안 모델 통합 아키텍처를 제시하고, SGA만의 풀스택 제로 트러스트 아키텍처(Full-Stack ZTA)에 부합하는 제로 트러스트 보안 모델의 구축과 운영을 지원한다. 또한 SGA만의 ZTA 컨설팅 방법론을 통해 도입 후 효과를 분석, 도출한다.

앤앤에스피는 제로 트러스트 보안 모델의 네트워크 영역 구현을 담당, SGA솔루션즈의 제로 트러스트 솔루션과의 연계를 통해 통합 환경을 구축한다. N²SF 환경 하에서 클라우드(SaaS)와 생성형 AI를 사용할 수 있도록 중계형 보안 게이트웨이 ‘앤넷CDS CSG(Cloud Security Gateway)’를 제공해 망 보안체계를 강화한다. 즉 S(Sensitive) 영역에서 요구하는 ‘외부 SaaS 이용 시 안전한 인터넷 사용 환경 구축’ 역할을 맡은 것이다. 앤넷CDS CSG는 생성형 AI나 SaaS 도입 시 내부 정보 유출과 외부 악성코드 유입을 차단해 내부 업무망을 보호한다. 제로 트러스트 기반 설계로 내부망에서 외부 서비스로의 비인가 접근을 차단하고, 인터넷이 허용된 개발망 내 정보 유출과 사이버 위협을 차단할 수 있다.

에스에스알은 제로 트러스트 모델의 데이터 보안 영역을 구현한다. 소스코드 내 민감정보 등과 같은 중요 데이터 취약점과 웹 취약점 등을 점검할 수 있도록 지원함으로써 개발 단계 보안 강화에서 핵심 역할을 수행한다. 이는 데브섹옵스(DevSecOps) 환경 구축의 기반이 된다.

제로 트러스트 레퍼런스 전 영역으로 확대

SGA솔루션즈는 2025년 시범 사업 수행을 통해 금융권 자율보안체계 전환 1단계를 진행, 제로 트러스트 보안 모델을 본격적으로 도입할 수 있는 기반을 마련한다는 전략이다. 이후 제로 트러스트 본 사업을 통해 본격적인 자율보안체계 전환을 목표로 할 수 있도록 하고, 최종적으로 제로 트러스트 아키텍처의 최적화를 통해 금융그룹 전체의 ZTA 표준을 선도한다는 계획이다.

또한 SGA솔루션즈는 올해 사업을 통해 다양한 영역에서의 레퍼런스를 축적함과 동시에, 기술력을 축적하고 고도화할 예정이다. 금융 분야를 시작으로 공공, 민간, 국방 영역까지 자체 보유한 국내 유일의 풀스택 ZTA를 적용함으로써 신 보안체계의 적용을 선도한다는 전략이다.

SGA솔루션즈 최영철 대표는 “3년 연속 주관사 선정은 기술적 우위와 현장 적용성 검증 능력을 종합적으로 인정받은 결과”라며 “금융사가 클라우드 전환 가속화 시대에 필수적인 선제적 보안 체계 구축에 기여할 것”이라고 강조했다.

프라이빗테크놀로지 컨소시엄
“최우수 평가로 대표과제 선정”

데이터 중심의 제로 트러스트 오버레이 금융망 구축

프라이빗테크놀로지는 2023년 실증사업을 수행한 경험을 바탕으로 2024년 시범사업에도 도전했으나 아쉽게 고배를 마셨다. 하지만 올해도 주관사로서 컨소시엄을 구성해 도전했고, 최종 선정된 6개 컨소시엄 중 가장 우수한 평가를 받으며 대표과제로 선정되는 쾌거를 이뤘다. 

프라이빗테크놀로지 컨소시엄은 ‘데이터 중심의 제로 트러스트 오버레이 금융망 구축’을 목표로 양자내성암호화(PQC) 등 최신 보안 기술과 국정원 N²SF를 금융망에 선제적으로 적용한다는 계획이다. 수요기관인 하나은행의 기존 금융망을 최소한으로 변경하면서 강화된 보안을 구현하는 제로 트러스트 오버레이 모델을 적용하고, △강화된 인증 △마이크로 세그멘테이션 △소프트웨어 정의 경계 등 제로 트러스트의 3가지 요소 기술과 최신 보안 기술, 그리고 정책까지 유기적으로 결합된 차별적 보안 모델을 구현한다는 계획이다.

SW 공급망 보안, 생체인증, NW 보안에 양자내성암호까지

컨소시엄에는 주관사인 프라이빗테크놀로지를 중심으로 △소프트웨어 공급망 보안 전문 기업 소프트버스(대표 이만희, 김광준) △양자 암호화·생체인증 전문 기업 아이티센피엔에스(ITCEN PNS, 대표 이정주) △네트워크 보안 전문 기업 파이오링크(대표 조영철)가 참여 기관으로 함께한다. 

먼저 프라이빗테크놀로지는 주관 기업으로서 제로 트러스트 3요소 기술과 각 기술이 매끄럽게 통합된 오버레이 모델을 심리스(Seamless)한 통합 기술로 구현하고, 검증까지 진행한다.

소프트버스는 소프트웨어 공급망 보안 기술을 적용할 예정이다. 소프트웨어 공급망을 기반으로 소프트웨어의 구성을 최소 단위로 관리하고, 안전한 소프트웨어를 검증한다.

파이오링크는 매크로 세그멘테이션 기술을 적용해 PC, 프린터 등에 대한 통합 네트워크 접근을 통제한다.

아이티센피엔에스는 양자내성암호 기반의 상호 인증 및 섹션 암호화 기술을 구현하고, 생체인증 기반의 무자각 지속 인증 기술을 적용해 더욱 강화된 인증을 제공할 예정이다.

수요기관인 하나은행은 이번 사업으로 ▲뉴욕, 런던 지점 대상 글로벌 금융업무 환경 ▲프라이빗 5G 기반 스마트 오피스 환경 ▲금융 특화 데브섹옵스(DevSecOps) 환경 등에 제로 트러스트 오버레이 모델을 적용할 예정이다. 이를 통해 데이터 중심 제로 트러스트 오버레이 모델 기반 보안 라이프사이클을 수립한다. 그리고 공격 표면 관리, 위협 모델링 등을 더해 금융망 주요 위협 요소에 대한 통제 체계를 확립할 수 있을 것으로 기대한다. 

프라이빗테크놀로지 관계자는 “올해 초 발표된 국가망 보안 정책을 실제로 금융망에 적용한다는 의미뿐만 아니라, 실무적 관점에서도 체계적이고 자동화된 보안 모델을 통해 제로 트러스트 도입 및 운영의 어려움을 완화할 수 있을 것으로 기대하고 있다”고 설명했다.

하나금융그룹 전체와 다양한 분야로 확대 기대

프라이빗테크놀로지는 이번 시범사업을 성공적으로 완수해 하나은행의 제로 트러스트 도입 범위를 하나금융그룹사 전체와 전 세계 지점 및 점포 등의 거점을 대상으로 확산하는 것을 목표로 하고 있다.

또한 회사는 최근 VPN 취약점을 이용한 대규모 침해사고가 발생함에 따라 선제적 대응이 가능한 제로 트러스트 보안 모델이 필요하다는 인식이 확산되고 있는 점에도 주목한다.

프라이빗테크놀로지 관계자는 “다양한 분야에서 수요가 발생할 것으로 예상하고, 보다 빠르고 안정적으로 제로 트러스트 보안 모델이 확산될 수 있도록 국가망 보안 체계, 오버레이 등 현장에서 어렵게 느끼는 보안 기술·기준을 최대한 쉽게 이해하고 적용할 수 있도록 지원하는 것에 중점을 두고 있다”고 말했다. 

뿐만 아니라 프라이빗테크놀로지는 연내에 ‘패킷고(PacketGo) SASE’를 출시하고, 국내 환경에 최적화된 통합 보안 플랫폼도 선보일 예정이다. 국내외 보안 솔루션과의 연동은 물론, AI 기술을 활용한 자동화된 프로세스를 통해 간편하게 중앙 집중식 보안 관리를 지원할 예정이다.

프라이빗테크놀로지 관계자는 “궁극적인 목표는 각 기업이 자체적으로 필요한 보안 모델을 충분히 이해하고 효과적으로 적용할 수 있도록 돕는 것”이라고 덧붙였다.

모니터랩 컨소시엄
“SSE 플랫폼 기반 하이브리드 환경 지원 제로 트러스트 구현”

국내 1위 웹방화벽 기업, 제로 트러스트 보안 플랫폼으로 사업 확장

모니터랩(대표 이광후)은 2005년 설립된 국내 대표 웹방화벽 기업으로, 프록시 엔진을 통한 고성능 애플리케이션 프록시 기술과 다양한 보안 솔루션 개발 운영 기술을 바탕으로 국내 1위 웹방화벽 기업의 지위를 확고히 하고 있다. 특히 최근에는 기존 온프레미스 웹방화벽 기반의 사업모델에서 벗어나 SSE(보안 서비스 에지) 플랫폼 기반의 제로 트러스트 보안 클라우드 SaaS(서비스형 소프트웨어)로 사업 영역을 확장하고 있다.

SSE 기반 제로 트러스트 보안 모델 국내 시장 확산 목표

모니터랩 컨소시엄은 이번 시범사업을 통해 클라우드, SaaS 기반 업무 환경에서 발생하는 위협에 신속하게 대응할 수 있는 제로 트러스트 보안 아키텍처의 기술적 연속성을 검증한다. 특히 SSE 기반의 제로 트러스트 보안 모델을 실증함으로써 국내 시장에 제로 트러스트 아키텍처를 빠르게 확산시키는 것을 목표로 하고 있다.

수요기업 중 하나인 KMW는 LED 조명 및 이동통신 기지국 장비·부품을 개발하는 기업으로 국내 본사는 물론 미국, 베트남, 일본 등 다수의 해외 법인을 운영하며 글로벌 인프라를 갖추고 있다. KMW는 기존의 VPN 중심의 경계 기반 보안 모델로는 사용자 접근 제어에 한계가 있어, 제로 트러스트 보안 아키텍처 도입의 필요성이 높았던 상황이다. 이에 따라 그룹웨어, 생산관리 시스템, 문서 중앙관리 등 주요 업무 서비스를 대상으로 국내 본사 및 베트남 법인에 이번 시범 사업을 우선 적용하기로 했다.

또다른 수요기업인 신영증권은 대체거래소 확대, 야간 선물거래, 공매도 규제 완화 등 24시간 365일 서비스를 요구하는 시장 환경 변화에 따라 서비스 중요도 및 보안 수준을 고려해 원격 재택 근무자의 접속 환경에 본 시범사업을 적용하기로 했다. 신영증권의 경우 최근 SaaS 애플리케이션 사용이 급증하면서 이에 따른 보안 관리 체계 마련이 필요해졌고, 외부 또는 재택 사용자가 기존 VPN을 통해 내부망에 접근할 경우 단말 보안 상태를 실시간으로 확인할 수 없어 보안 리스크가 존재하는 상황이었다.

PQC, XDR, SOAR 등 최신 기술 적용

모니터랩 컨소시엄에는 △LG유플러스 △안랩 △라온시큐어 등이 함께한다. 모니터랩은 주관사로서 제로 트러스트 아키텍처 설계를 총괄하고 참여 업체들의 솔루션 연동 및 통합 구축을 지원할 계획이다. 특히 SSE 플랫폼 기반의 ‘아이온클라우드(AIONCLOUD)’를 중심으로 ZTNA(제로 트러스트 네트워크 액세스), SWG(보안 웹 게이트웨이), CASB(클라우드 액세스 보안 브로커) 등의 보안 핵심 기능을 결합해 사용자 환경에 최적화된 제로 트러스트 보안 환경을 구현할 예정이다.

또한 LG유플러스는 사용자 인증 후 과정에 양자내성암호(PQC) 기술을 적용해 보안 채널을 강화할 계획이며, 안랩은 XDR(확장된 탐지 및 대응)과 SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션 기반의 보안 운영 자동화를 담당한다. 특히 안랩은 단말 무결성 검증 및 시스템/네트워크 정보 기반의 위협 점수(Risk Scoring)를 PDP(정책결정지점) 시스템에 연동하고, SOAR를 통해 보안 운영 자동화를 지원할 예정이다.

라온시큐어는 SSO 및 2차 인증 수단(지문, 생체, OTP 등)을 통한 사용자 인증 체계를 구현할 예정이며, 모니터랩 ‘아이온클라우드’의 관리자(admin) 포털과 연계해 계정 통합 관리 체계를 구축할 예정이다.

“SSE 플랫폼 고도화해 완전한 제로 트러스트 보안 아키텍처 구축할 것”

모니터랩은 현재 SSE 기반의 올인원 SaaS 플랫폼인 아이온클라우드를 통해 CASB, SWG, RBI(원격 브라우저 격리), ZTNA, FWaaS(서비스형 방화벽) 등 다양한 보안 서비스를 결합해 SaaS, 웹, 앱에 대한 안전한 액세스를 제공하고 있다.

모니터랩 측은 “앞으로 아이온클라우드의 다양한 기능들을 더욱 고도화해 완전한 제로 트러스트 보안 아키텍처를 구축할 계획”이라면서 “또한 자사의 CTI(사이버 위협 인텔리전스) 플랫폼인 AI랩스(AILabs)와 연계해 최신 위협 정보를 자동으로 보안 정책에 반영하고, 알려진 위협뿐 아니라 제로데이 등의 알려지지 않은 고도화된 위협에 대한 보안 대응 역량도 지속적으로 강화할 방침이다”라고 밝혔다.

이니텍 컨소시엄
“AI 클라우드 인프라 보호를 위한 ICAM 기반 제로 트러스트 구현”

SKT AI 환경 특화 제로 트러스트 도전

국내 1위 통합 계정관리 및 인증 사업자임을 자부하는 이니텍은 독자적인 ICAM(Identity, Credential and Access Management; 자격 증명 및 액세스 관리) 플랫폼 기술을 보유하고 있으며 온프레미스와 클라우드 환경 모두를 지원하고 있다. 

특히 회사 측은 “향후 제로 트러스트 분야에 50억 원 이상의 투자 계획을 갖고 있으며 통합인증(SSO, MFA), 정책 기반 접근제어(PDP/PEP), 리스크 스코어링, 양자내성암호(PQC), 시큐어 AI(Secure AI) 연동 기술 등 제로 트러스트 아키텍처의 핵심요소 전반에 대한 높은 이해도와 기술력을 보유하고 있다”고 강조했다.

이번 시범사업의 최우선 목표는 SK텔레콤의 AI 클라우드 인프라 보호를 위한 결과 중심의 제로 트러스트 기반 정보보호 체계를 성공적으로 구현하고 검증하는 것이다. 구체적으로는 과기정통부의 ‘제로 트러스트 가이드라인 2.0’을 준수해 최적화된 모델을 SK텔레콤의 실제 운영 환경인 클라우드 운영환경, AI 개발환경, 지사/대리점 통신망 환경에 적용하고, 향후 차세대 사업의 핵심 인프라에도 적용 가능한 모델을 사전 검증한다는 계획이다.

특히 AI 서비스 개발 및 운영 전반의 보안 위협에 선제적으로 대응하고,  CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼) 적용과 같이 가이드라인 2.0에서 강조하는 클라우드 네이티브 개발 환경에 대한 보안을 강화하는 데 중점을 두고 있다. 또한 컨소시엄 기업들이 가진 국산 기술로 제로 트러스트 핵심 요소를 구현하여, 다양한 민간 기업의 실제 시스템과 서비스에 적용 가능한 다양한 제로 트러스트 보안 모델을 발굴하고 확산하는 기틀을 마련한다는 목표를 갖고 있다.

수요기업인 SK텔레콤은 ‘글로벌 AI 컴퍼니’로의 도약을 목표로 AI 인프라, AI 로봇, UAM 등 미래 산업을 클라우드 기반으로 육성하고 있으며, 이에 따라 제로 트러스트 보안의 필요성이 매우 절실한 상황이다. 최근 대규모 사용자 정보 및 민감한 AI 데이터를 다루는 기업들의 보안 사고 발생 가능성에 대한 우려가 커지고 있는 상황에서, SK텔레콤은 이번 시범사업을 포함해 향후 5년간 제로 트러스트에 100억 원 이상의 투자를 진행할 계획을 갖고 있다.

“제로 트러스트 대표 기업 도약 위해 드림팀 결성”

이니텍 컨소시엄은 ‘제로 트러스트 드림팀’을 꾸렸음을 자부한다. 각사의 독보적인 기술력과 경험을 바탕으로 시너지를 창출해 과제 목표를 성공적으로 달성한다는 계획이다. 특히 SK텔레콤도 기존에 보유한 XDR(확장된 탐지 및 대응) 솔루션을 활용하는 것은 물론, 향후 기술 이전까지 계획하는 등 단순 수요기관을 넘어선 적극적 파트너로서 참여한다는 게 이니텍 측 설명이다.

이니텍은 주관기관으로서 컨소시엄 총괄 및 사업 전체 관리, 제로 트러스트 아키텍처 설계 및 구현을 주도한다. 통합인증, 계정관리, 접근정책 관리 및 결정(PDP), 정책 시행(PEP) 등의 기능을 통합한 ICAM 플랫폼을 제공하고 고도화하며, 사용자·기기·자원 간에 신뢰도 기반의 동적 접근 통제와 지속적 검증 체계 구축 등의 중추적 역할을 수행한다.

아스트론시큐리티는 국내 최초로 클라우드 네이티브 보안 솔루션인 CNAPP를 상용화한 기업으로, 클라우드 환경 보안에 특화된 등록 16건, 출원 15건 등 다수의 특허를 보유하고 있다. 사업에서는 컨테이너, 쿠버네티스 등 클라우드 네이티브 환경과 동적 자산에 대한 실시간 위협 탐지 및 보안 상태 가시화를 담당하며, CNAPP 솔루션을 통해 클라우드 자산, 계정의 취약점 및 이상행위 탐지, 최소 권한 유지, 이미지·워크로드 보호, 마이크로세그멘테이션 환경에서의 측면 이동 공격 탐지 및 대응을 담당하며 ICAM 플랫폼과 연동한다.

피앤피시큐어는 국내 1위 접근제어 솔루션 사업자로, 데이터베이스 및 시스템 접근제어 분야에서 독보적인 기술력과 시장 점유율을 확보하고 있다. 이번 사업에서는 제로 트러스트 관점에서 데이터 및 시스템에 대한 접근통제 강화를 담당하며, AI 클라우드 인프라 내 DB, 시스템 파일 등 중요 데이터에 대한 접근 정책 적용, 실시간 자산 식별 및 등급 분류, 최소 권한 원칙 적용 및 감사 추적 기능을 ICAM 플랫폼과 연동해 제공한다.

큐비트시큐리티는 클라우드 기반 SECaaS(서비스형 보안) 사업자로 EDR(엔드포인트 탐지 및 대응), SIEM(보안 정보 및 이벤트 관리) 솔루션을 자체 보유하고 있다. 사용자 단말(엔드포인트) 보안 강화를 담당하며, 클라우드 기반 EDR 서비스를 통해 엔드포인트의 악성코드 및 이상행위 탐지, 분석, 대응을 수행하고, 수집된 보안 정보를 XDR(확장된 탐지 및 대응) 및 SIEM 솔루션을 통해 ICAM 플랫폼과 연동함으로써 전체적인 위협 분석 및 대응 역량을 강화한다.

“제로 트러스트 이해도 국내 최고 수준 장담”

이니텍은 제로 트러스트가 단순한 보안 트렌드를 넘어 미래 디지털 환경의 핵심 인프라로 기능할 것으로 본다. 이에 이번 시범사업을 교두보 삼아 국내 제로 트러스트 시장을 선도하고 글로벌 경쟁력을 갖춘 기업으로 성장하기 위한 확고한 비전과 구체적인 실행 전략을 수립했다. 특히 회사는 사업을 본격적으로 확대 추진하고자 최근 새로운 담당 임원을 충원, 제로 트러스트의 이해도 측면에서 최고 수준임을 자신하고 있다.

이니텍은 이번 시범사업의 성공적인 결과를 바탕으로 ‘K-제로 트러스트’ 표준화 및 생태계 리더십 확보에 나선다는 계획이다. 이를 통해 국내 기술 기반의 실효성 있는 제로 트러스트 아키텍처를 정립, 이를 공공·금융·민간 등 다양한 산업 분야로 확산 가능한 표준 모델로 발전시킨다는 계획이다. 또한 독자적 ICAM 플랫폼을 지속적으로 고도화해 제로 트러스트 아키텍처 핵심 엔진으로서의 독보적 경쟁력을 강화하고, 공공 및 금융 시장을 최우선 타깃으로 시장 진출을 적극 추진할 예정이다.

SK쉴더스 컨소시엄
“SaaS 환경 확대 맞춰 제로 트러스트 보안 모델 실증·확장”

KB국민은행 클라우드 시스템에 제로 트러스트 보안 적용

SK쉴더스 컨소시엄은 이번 시범사업에서 SaaS(서비스형 소프트웨어) 환경이 확대되는 추세에 맞춰 제로 트러스트 보안 모델을 SaaS 영역에 실증·확장하는 데 목표를 두고 있다. 최근 SaaS 서비스 사용이 급증하면서 이에 따른 보안 위협도 증가하고 있어, 제로 트러스트 기반의 보안 체계 구축이 더욱 중요해지고 있는 상황이라는 판단에서다.

SK쉴더스 관계자는 “강화된 인증체계, 마이크로 세그멘테이션, 소프트웨어 정의 경계(SDP) 등 제로 트러스트의 핵심 요소를 SaaS 기반 데이터 보안과 가시성 확보라는 관점에서 성숙도를 최적화하고자 한다”고 밝혔다.

이를 위해 수요기관인 KB국민은행은 클라우드 업무 시스템에 제로 트러스트 보안을 적용한다. 지난해 시범사업을 통해 구축한 기존 제로 트러스트 아키텍처를 올해는 SaaS 환경까지 확장하고, SaaS 사용자 식별, 업로드 데이터 암호화 및 레이블링, IT 자산의 취약점 점검 및 가시화, 위협 정보 탐지 등을 핵심 과제로 설정해 추진한다는 계획이다.

SK쉴더스 관계자는 “이번 사업을 통해 SaaS 전용 보안 체계를 강화함으로써, 생성형 AI나 M365 코파일럿(Copilot) 등 새로운 기술 도입 시에도 안전한 서비스 사용 환경을 마련할 수 있게 될 것으로 기대된다”면서 “이는 기관이 직면한 보안 위협에 대비하고, 클라우드 및 SaaS 서비스의 안전한 사용을 보장하는 데 중요한 역할을 할 것이다”라고 덧붙였다. 

기술력과 경험 갖춘 기업들 골고루 포진

SK쉴더스는 숙련된 관제 역량과 다양한 산업별 레퍼런스를 기반으로 이번 시범사업을 주관한다. 구축을 주도하면서 사업 전체 품질을 관리하며, 보안관제센터 데이터 수집, 위협평가 기법 모델링, 위협평가 연동 모듈 개발을 수행한다. 오랫동안 축적해온 보안 관제 노하우와 다양한 산업 분야의 경험을 바탕으로 이번 컨소시엄을 성공적으로 이끌어간다는 포부다.

넷츠(NETS)는 국내 IAM(아이덴티티 및 액세스 관리) 업계에서 가장 많은 전문 인력을 보유하고 있으며, 특히 클라우드 SaaS 환경의 계정 및 권한을 관리하는 특화 솔루션을 갖고 있다. 이번 시범사업에서는 계정, 권한, 인증 영역의 핵심 역량을 바탕으로 SaaS 앱 라이선스 관리, SaaS 앱 사용자 권한 관리, SaaS 앱 정책 관리, SSO 토큰 발행 등의 역할을 담당한다.

모놀리(Monoly)는 가트너가 클라우드 데이터 보호 모범 사례로 선정한 바 있는 기업이다. 팀즈(Teams), 슬랙(Slack), 세일즈포스(Salesforce) 등 글로벌 솔루션으로의 확장 가능성도 갖고 있다. 이번 사업에서는 SaaS 데이터 거버넌스를 통해 SaaS 환경에 대한 데이터 통제권을 보장하며, SaaS 데이터 원본 내부저장 원칙, SaaS 데이터 등급 및 레이블링 제어, SaaS 데이터 유통 통제를 담당한다.

소프트캠프(Softcamp)는 제로 트러스트 기반의 안전한 문서·데이터 협업 환경 구축 전문 기업으로, 정보보호 관리 체계에 대한 국제 표준 인증(ISO 27001)을 획득했으며 다수의 특허를 보유하고 있다. 20년 이상의 노하우와 다양한 레퍼런스를 바탕으로 이번 시범사업에서는 데이터 등급 레이블링, 데이터 사용 권한 제어, SaaS 데이터 암호화를 담당한다. 

자이온(XAION)은 AI옵스(AIOps)와 제로 트러스트 구현 역량을 보유하고 있으며, 데이터 관리(실시간 수집, 분석, 모니터링)에 특화된 기술을 보유하고 있다. AI, 클라우드, 빅데이터 인프라 구축의 컨설팅 역량을 바탕으로 이번 사업에서는 SaaS 보안 통합 대시보드, SaaS 데이터 유통 모니터링, 자산 모니터링 통합, 신뢰도 평가 데이터 확장을 담당한다.

“ZETIA 통해 제로 트러스트 산업 선순환 구조 조성”

SK쉴더스는 제로 트러스트 보안 체계의 구축과 고도화에 지속적으로 힘쓰고 있다고 강조했다. 2024년 발족한 ‘ZETIA(제티아) 협의체’가 이러한 노력을 증명한다. ZETIA는 총 11개 보안 전문 기업이 참여하는 협의체로, 공공·금융·제조·통신 등 다양한 산업 환경에 맞춤형 제로 트러스트 구현을 지원하고 있다.

ZETIA 참여 기업들은 ID/인증, 마이크로 세그멘테이션, SDP(소프트웨어 정의 경계), 로그 수집/분석, AI 이상징후 분석 등 제로 트러스트의 5대 핵심 영역을 분담하고 있다. SK쉴더스는 협의체 운영을 주도하며 전략 수립과 성숙도 모델 개발을 담당하고 있다. 

SK쉴더스는 ZETIA 협의체 및 보안 기업들과의 지속적인 협력을 통해 제로 트러스트 아키텍처 표준 모델을 구현하고, 검증하여 제로 트러스트를 도입하고자 하는 기업에게 최상의 가이드를 제공한다는 계획이다. SK쉴더스 관계자는 “이러한 전략을 기반으로 제로 트러스트 보안 산업의 전반적인 성장을 견인하고, 중소 보안기업과의 상생 협력을 적극 추진해 산업 전반의 경쟁력을 함께 높이는 선순환 구조를 만들어갈 방침”이라고 밝혔다.

이스트시큐리티 컨소시엄
“클라우드와 5G 특수망 아우르는 통합 제로 트러스트 실증”

클라우드, 5G 특수망 사례 확보해 글로벌 확산까지 목표

이스트시큐리티(대표 정진일)는 올해 제로 트러스트 보안 실증 시범사업의 주관사로 선정되면서 국내 제로 트러스트 보안체계 확산을 위한 본격적인 행보를 시작한다.

이번 실증사업에서 이스트시큐리티 컨소시엄은 1세대 클라우드 사업자 가비아, 국내 유일 민간 철도 인프라 기업 공항철도를 수요기업으로 확보하고 클라우드와 5G 특수망이라는 상이한 환경 모두에서 제로 트러스트 보안모델의 실효성을 검증한다. 이를 통해 국내 보안 생태계의 경쟁력을 강화하고, 산업별 적용 표준을 마련하며, 나아가 글로벌 확산까지 본격 추진한다는 전략이다.

기존 기업 보안 환경은 VPN(가상사설망) 기반 접근제어나 경계형 방어에 의존하고, 클라우드 환경에서는 사용자 위치나 디바이스에 관계없이 동일 권한이 부여되는 구조가 일반적이다. 제조·인프라 분야 역시 인증 이후 내부 자원에 대한 통제가 미흡해 공격 발생 시 내부 확산에 취약하다. 이스트시큐리티는 FIDO2, MFA(멀티팩터인증) 통합 운영 플랫폼과 자체 XDR(확장된 탐지 및 대응), EDR(엔드포인트 탐지 및 대응) 기술을 결합한 제로 트러스트 통합보안 체계를 실증에 적용한다. 이를 통해 초기 인증부터 실시간 모니터링, 신원 검증까지 강화하는 통합 모델을 선보일 예정이다.

또한 기술적 측면에서는 네트워크 접속 전후 인증 강화 레이어를 도입해 사용자 경험에 영향을 주지 않으면서도 보안성을 크게 높인다는 게 회사 측 설명이다. 접속 이후에는 SDP(소프트웨어 정의 경계) 기반으로 엔드포인트 상태와 접속 환경에 따라 실시간 정책을 적용, 워크로드 수준에서 동적 접근 제어를 통해 공격 발생 시 횡적·종적 확산을 효과적으로 차단한다. 특히 ‘국민백신’을 자부하는 대표 제품 ‘알약(ALYac)’과 통합보안 플랫폼 ‘알약 XDR’을 기반으로 정책 수립부터 위협 탐지, 대응까지 제로 트러스트 환경에 완전하게 통합된 모델로 구현할 예정으로, 수요기업의 차세대 보안 인프라 전환을 가속화할 것으로 기대한다.

클라우드·특수망 모두 최적화된 구축 위해 전문성 결집

이스트시큐리티 컨소시엄에는 이스트시큐리티 외에도 시큐어링크, 사이시큐연구소, 옥타코 등 각 분야 전문기업이 참여한다. 주관사인 이스트시큐리티는 통합 보안 플랫폼을 총괄하고 AI 기반 위협 탐지, 자동화 대응 등 XDR 핵심 기술을 담당한다.

시큐어링크는 제로 트러스트 통합정책 및 사용자 경계 정의 기반 네트워크 접근제어를 맡는다. 사이시큐연구소는 SDP(소프트웨어 정의 경계)의 핵심 기술 중 하나인 특수 SPA(단일 패킷 인증) 기반의 보안 채널과 엔드포인트 보안 연계를 담당한다. 즉 엔드포인트와 제로 트러스트의 통합과 정책 수행, 신원 인증, 워크로드 통제 등을 제공한다. 옥타코는 FIDO2 및 다양한 MFA를 통합 운영하는 인증 플랫폼과 강화된 PQC 기술을 제공, 클라우드와 특수망 모두에 적용 가능한 유연하고 강력한 인증 구조를 실현한다.

이스트시큐리티 컨소시엄은 각사의 전문성을 결집해 클라우드와 특수망이라는 두 핵심 성장 분야에서 최적의 제로 트러스트 솔루션을 구축, 국내외 시장 진출 기반을 마련한다는 방침이다.

제로 트러스트 중장기 전략 본격 시동

이스트시큐리티는 이번 실증사업을 출발점으로, 향후 2~3년간 국내 제로 트러스트 생태계 확산과 글로벌 경쟁력 강화를 위한 중장기 전략을 추진할 계획이다. 

올해까지는 실증사업을 통해 축적한 기술 역량을 바탕으로 제로 트러스트 기반 XDR 통합 모델을 정립하고, 국가망보안체계(N²SF) 등과의 연계를 강화한다. 동시에 산업별 적용 가이드라인을 마련해 국내 표준화에 기여하고, 주요 클라우드 사업자와 협력해 ZTaaS(서비스형 제로 트러스트) 모델 확산에도 힘쓸 계획이다.

이스트시큐리티 전략사업실 황상복 실장은 “제로 트러스트는 기술이 아닌 철학의 전환이며, 하나의 도달점이 아닌 지속적인 여정”이라며 “이번 실증사업을 통해 얻은 실질적 성과를 바탕으로 국내는 물론 글로벌 시장에서도 경쟁력 있는 통합보안 모델을 만들어가겠다”고 밝혔다.