[지상중계] “사이버보안의 새 패러다임을 전망한다”

[컴퓨터월드] 제로 트러스트(Zero Trust)는 사이버보안의 패러다임을 바꾸고 있다. 증가하는 공격 표면을 관리하고자 기업들은 데이터 중심으로 모든 요소를 검증하는 제로 트러스트 도입에 관심을 기울이고 있다.

공공 부문에도 보안의 새로운 바람이 불고 있다. 국가정보원이 준비하는 ‘국가 망 보안체계(National Network Security Framework, N2SF)’는 시스템·정보를 3등급으로 분류하고, 통제를 차등 적용하는 보안 프레임워크다. 20년간 이어진 망 분리 일변도의 공공 보안 정책이 N2SF와 함께 변화하고 있는 것이다.

본지(컴퓨터월드/IT DAILY)는 지난달 4일 서울 양재동 엘타워에서 ‘사이버보안의 뉴 패러다임, N2SF와 제로 트러스트’를 주제로 ‘2025 정보보호 솔루션 컨퍼런스’를 개최했다. N2SF와 제로 트러스트에 대한 독자들의 열띤 관심을 엿볼 수 있던 이번 행사 내용을 정리했다.

“사이버보안의 뉴 패러다임, N2SF와 제로 트러스트”

키노트를 맡은 대구대학교 김창훈 교수는 ‘사이버 보안의 뉴 패러다임, N2SF와 제로 트러스트’를 주제로 발표에 나섰다. 김창훈 교수는 현재 한국사이버안보학회 N2SF 연구회 회장을 맡고 있으며 N2SF를 수립하기 위한 여러 활동에 참여하고 있다.

전 세계 각국에서 새로운 사이버보안 전략을 수립하고 있다. 기존 경계망을 중심으로 하는 체계에서 IT 자산을 보안의 핵심 요소로 여기기 시작했다. 클라우드, AI 등 신기술이 등장하며 자산이 내외부 산재하게 됐으며, 늘어난 공격 표면으로 해커들이 파고들 수 있는 허점도 늘어난 영향이다.

이에 대응하고자 미국 연방 정부는 위험 관리 프레임워크(Risk Management Framework)를 적용 중이며 국립표준기술연구소(NIST)에서 ‘사이버보안 프레임워크(Cyber Security Framework)’도 개발했다. 제로 트러스트(Zero Trust) 역시 이와 같은 맥락에서 출발했다.

우리나라 국가정보원도 차세대 보안 체계를 연구해 왔으며 그 결과물인 N2SF의 정식 공개를 앞두고 있다. N2SF는 중요도에 따라 보안통제를 차등 적용하는 프레임워크다. 국가·공공기관의 업무 정보와 시스템은 △기밀(Classified, C) △민감(Sensitive, S) △공개(Open, O) 등 3개 등급으로 분류된다.

N2SF가 미국의 보안 체계와 차별화되는 지점은 ‘분리 및 격리’다. 김창훈 교수는 “프레임워크는 사이버보안을 강화하기 위한 밑그림이다. 프레임워크를 토대로 아키텍처를 수립할 때 각 기관은 내부 환경에 따라 적절한 구조를 선택한다”며 “국정원은 N2SF를 구현하는 데 있어 격리 기반 대응 체계를 강조한다. 준비 단계에서부터 도메인을 등급별로 분류함으로써 위협이 발생하더라도 피해를 최소화하는 동시에 원인을 규명하는 일까지 가능하다”고 설명했다.

“사이버보안 패러다임의 변화, N2SF와 제로 트러스트 적용 전략”

SGA솔루션즈 최영철 대표는 ‘사이버보안 패러다임의 변화, N2SF와 제로 트러스트 적용 전략’을 주제로 발표를 진행했다. SGA솔루션즈는 제로 트러스트 구현을 뒷받침하는 풀스택(Full-stack) 솔루션 ‘SGA ZTA’로 시장 확대에 나서고 있다.

최근 국내 보안 컴플라이언스가 변화하고 있다. 공공에서는 N2SF 도입을 준비하고 있으며 금융당국은 올 하반기 중으로 자율보안 프레임워크 발표를 예고했다. 국방부 역시 ‘K-RMF’라는 새로운 프레임워크를 마련해 도입 단계에 있다. 동시다발적으로 일어나는 변화에 기관과 기업 관계자들은 혼란을 느끼고 있다.

최영철 대표는 이러한 변화에 기관과 기업이 쉽게 대응하는 방법으로 ‘오버레이(Overlay)’를 제안했다. 오버레이는 여러 컴플라이언스 간 정합성을 발견하는 방법이다. 오버레이를 위해 만든 하나의 표에 컴플라이언스와 제로 트러스트 항목을 연계하고, 여기에 기업이 갖춘 솔루션 목록을 더함으로써 현황과 목표를 한눈에 파악할 수 있다.

실제 미국 국방부(DoD)는 제로 트러스트 구현과 함께 기존 RMF를 충족하기 위해 380페이지 분량의 ‘제로 트러스트 오버레이’ 문서를 제작한 바 있다. 이 문서는 △사용자 △기기(디바이스) 데이터 △자동화 및 오케스트레이션 △가시성 △애플리케이션 및 워크로드 등을 중심으로 RMF와 제로 트러스트를 모두 충족하는지를 검증하는 내용이 담겼다.

SGA솔루션즈는 이 같은 오버레이 전략을 SGA ZTA와 연계, N2SF를 비롯한 컴플라이언스를 기관 및 기업에서 충족하는 방안을 제안하고 있다. 최 대표는 “제로 트러스트를 구현하기 위해서는 여러 보안 영역을 아우르는 체계를 수립해야 한다”며 “SGA솔루션즈는 SGA ZTA를 통해 시스템, 클라우드 등 여러 요소에 보안을 강화할 수 있는 뼈대를 제공하고 있다”고 밝혔다.

“쉽게 사용할 수 있는 N2SF 정보 서비스, N2SF as a Service”

프라이빗테크놀로지 김영랑 대표는 ‘쉽게 사용할 수 있는 N2SF 정보 서비스, N2SF as a Service’를 주제로 발표했다. 프라이빗테크놀로지는 제로 트러스트 네트워크 액세스(ZTNA) 솔루션인 ‘패킷고(PacketGo)’ 등을 중심으로 네트워크 보안 강화를 지원하고 있다.

우리나라 국가 및 공공기관은 망 분리를 중심으로 보안 체계를 운영 중이다. 망 분리는 통제할 수 없는 외부망을 내부망과 분리함으로써 보안을 향상하는 방법이다. 하지만 20여년의 시간이 흐르며 서비스형 소프트웨어(SaaS)를 위한 보안 강화 방안이 필요해졌고, 이에 국정원은 N2SF를 준비하고 있다.

김영랑 대표는 N2SF 적용에 있어 네트워크 보안의 중요성을 강조했다. 김 대표는 “모든 데이터는 네트워크를 통해 전송되기 때문에 이 영역을 어떻게 통제할지가 중요하다”며 “네트워크가 장애를 일으키지 않는 선에서 사용자를 검증하고 권한을 제어하는 기능이 요구된다”고 설명했다.

프라이빗테크놀로지는 보안 담당자가 기관 시스템에 N2SF를 쉽게 적용할 수 있도록 ‘서비스형 N2SF(N2SF as a Service)’를 제안하고 있다. 서비스형 N2SF는 사용자 장비에 탑재된 에이전트와 시스템의 연결부인 게이트웨이를 중심으로 세 가지 컴포넌트를 갖춘다. 분리 및 격리, 인증 등을 보안 컨트롤러로 실시간 관리하며, 일부 위협 분석 대응 항목은 비실시간 형태로 구현함으로써 네트워크의 부담을 줄이고 안전한 환경을 구현할 수 있도록 지원한다. 이와 함께 데이터 수준 ICAM(Identity Credential Access Management)으로 세분화된 인증·권한 관리를 제공한다.

김영랑 대표는 “N2SF는 공공에는 신기술을 안전히 사용할 수 있는 체계를 제공하며, 동시에 국내 보안 산업이 글로벌 시장으로 나아갈 수 있는 발판을 마련해 줄 것으로 기대한다”며 “프라이빗테크놀로지는 N2SF 시범 실증 사업을 시작으로 새로운 보안 체계가 우리나라에 뿌리내릴 수 있도록 기여하겠다”고 말했다.

“신 보안체계 발전을 위한 역할과 제언”

지니언스 이대효 상무는 ‘신 보안체계 발전을 위한 역할과 제언’을 주제로 발표했다. 지니언스는 네트워크 접근 제어(NAC) 솔루션 ‘지니안 NAC’를 중심으로 ZTNA, 엔드포인트 탐지 및 대응(EDR) 등으로 제로 트러스트 실현을 지원하고 있다.

미국에서는 제로 트러스트 적용이 본격화하고 있다. NIST는 2022년부터 3년간 상용 보안 제품으로 제로 트러스트 아키텍처를 만들 수 있는지를 검증했고, 그 결과를 지난 6월 ‘SP 1800-35’로 공개했다. SP 1800-35에는 24개 업체의 제품을 조합해 만든 아키텍처 19개가 예시로 담겼다.

하지만 국내에서는 아직 제로 트러스트 구현에 어려움을 겪고 있다. 보안 업체 간 솔루션 연동 체계가 부족해 확장성 있는 연동이 힘들기 때문이다. 이대효 상무는 “제로 트러스트는 솔루션 하나만으로 만들 수 없기 때문에 여러 제품 간 연계가 필수다. 하지만 아직 국내에선 이 같은 체계가 마련되지 못했다”며 “글로벌 표준 연동 체계를 적용해 경쟁력제고를 고심해야 한다”고 강조했다.

이와 함께 실제 기업 및 기관에는 작은 영역부터 제로 트러스트를 점진적으로 적용해야 한다고 조언했다. 이 상무는 “단번에 새로운 보안 체계로 시스템을 바꿀 수는 없다. 직원들이 체감할 수 있는 작은 프로젝트부터 시작해야 한다”며 “가령 기존 가상사설망(VPN) 장비를 ZTNA로 대체하는 사업은 비용 대비 큰 효과를 볼 수 있다”고 조언했다.

“업무 중요도 기반 보안 환경 구축과 제로 트러스트 연계 방안”

소프트캠프 강대원 본부장은 ‘업무 중요도 기반 보안 환경 구축과 제로 트러스트 연계 방안’을 주제로 발표했다. 소프트캠프는 원격 브라우저 격리(RBI) 솔루션 ‘실드게이트(SHILEDGate)’, 통합 계정관리 서비스 ‘실드ID(SHIELD ID)’로 제로 트러스트 구현을 돕고 있다.

N2SF의 핵심 요소는 위협 모델링이다. 시스템 내 위치-주제-객체로 대상을 구분하고 위험 등급을 분류한 후 그에 맞는 보안 정책을 적용하는 것이다. 관건은 등급이 다른 영역 간 연계다. 가령 S등급과 O등급 사이에서 파일 전송이 이뤄질 경우, 위험 요소를 파악하고 적합한 보안통제 항목이 마련돼야 한다. 현재 N2SF 가이드라인은 6개 영역에 176개 보안통제 항목을 제공하고 있다.

강대원 본부장은 ”N2SF는 정책 보안 주체와 대상에 대해 특정 이벤트 및 조건에 따라 정책을 어떻게 적용할지가 핵심”이라며 “파일 다운로드, 인쇄, 화면 캡처 등 여러 상황을 두고 허용하거나 차단할지, 또는 데이터 보안 수준을 어떻게 높일지를 다루는 것”이라고 설명했다.

소프트캠프는 문서 자체에 위험 등급을 부여하는 방법을 제안한다. 가령 S등급 시스템에서 문서를 다운로드했다면 이 문서에는 ‘S’라는 표시를 남긴다. 이와 함께 문서에 출처, 사용자, 만들어진 날짜와 같은 정보까지 삽입함으로써 정교한 통제를 구현하는 것이다.

소프트캠프의 RBI 솔루션 ‘실드게이트(SHIELDGate)’를 연계, 업무 시스템 수정 없이도 등급별 문서 유통을 제어한다. 특히 소프트캠프는 실드게이트가 갖춘 다운로드 없는 웹 편집 기능, SaaS 업로드 문서에 대한 검색 및 통제로 보안 수준을 더욱 높여나간다는 계획이다.

“제로 트러스트 실현을 위한 ZTNA 도입과 운영방안”

안랩 솔루션컨설팅본부 원동현 부장은 ‘제로 트러스트 실현을 위한 ZTNA 도입과 운영방안’을 주제로 발표했다. 본격적인 발표에 앞서 원 부장은 전통적인 네트워크 경계 보안이 기술 발전에 따라 한계에 부딪히고 있다고 설명했다.

네트워크 보안은 그간 내외부 경계를 기준으로 이뤄졌다. 지금까지는 보안 솔루션으로 신뢰할 수 없는 외부로부터의 위협을 탐지·차단하는 데 집중했다. 하지만 클라우드 환경과 서비스형 소프트웨어(SaaS) 도입이 확산하며 보안이 필요한 영역이 확대됐고, 경계를 중심으로 하는 기존 체계로는 공격을 막아내는 데 한계가 있음을 알게 됐다.

원동현 부장은 “경계 보안의 한계를 인정하고 다계층 방어 전략을 채택해야 한다”며 “네트워크, 엔드포인트 등 여러 영역에 걸친 보안을 구현하고 위협 인텔리전스를 적극 활용해야 한다. 특히 피해 최소화에 역점을 둬야 한다”고 조언했다.

증가하는 공격 표면에 대응하는 ‘ZTNA’ 도입 방안으로 원 부장은 ‘안랩 XTG’를 들었다. 안랩 XTG는 차세대 방화벽 제품인 ‘안랩 트러스가드(TrusGuard)’에 네트워크 보안 기능을 강화한 솔루션이다. 엔드포인트 보호 플랫폼(EPP)과 연계해 위협을 선제 탐지하는 건 물론, 사용자 인증 정보 및 권한 관리로 ZTNA 구현을 지원한다.

원동현 부장은 “보안 전문기업과 협업하면 고도화된 위협에 대응할 수 있는 완성도 높은 전략을 세울 수 있다”며 “안랩은 다채로운 보안 제품군을 연계함으로써 제로 트러스트를 실현할 수 있는 강력한 파트너”라고 말했다.

“N2SF의 연계체계와 보안통제 방향”

휴네시온 심재중 이사는 ‘N2SF의 연계체계와 보안통제 방향’을 주제로 발표했다. N2SF 적용 절차는 △준비 △C/S/O 등급 분류 △위협 식별 △보안대책 수립 △적절성 평가·조정 순으로 이뤄진다. 이 모든 과정은 각급 기관에서 직접 수행해야 한다. 기관으로서는 보안 등급 분류에서부터 대책 마련에 이르는 절차를 해결하는 부담을 안게 된다.

N2SF를 실무에 적용할 때 고려할 점은 크게 기술과 관리로 나뉜다. 기술적인 면에서는 등급 분류, 민감정보 탐지, 자동화·사용성 등을, 관리 측면에서는 늘어나는 솔루션, 증가하는 구축 비용 등을 고려해야 한다.

심재중 이사는 “N2SF 도입으로 보안 솔루션이 늘어나게 된다. 기업 및 기관들은 구축 비용과 함께 관리에 대한 부담을 느낄 것”이라며 “실무 적용 과정에서 발생하는 문제점을 인식하고 분석함으로써 기관별로 맞춤형 대응 방안을 찾을 필요가 있다”고 조언했다.

N2SF에서 중요한 문제 중 하나는 망 연계를 어떻게 해결하는가다. 다른 등급의 시스템 사이에서 정보가 안전하게 공유될 수 있도록 보안을 강화하는 방안을 마련해야 한다는 것이다. 기밀(C) 등급의 경우 망 연계 시 완전한 차단이 원칙이며 필요시 ‘크로스 도메인 솔루션(Cross Domain Solution, CDS)’ 등으로 통제해야 한다.

휴네시온은 이처럼 다양한 요구사항에 대응할 수 있는 네 종류의 망 연계 솔루션을 보유하고 있다. 일반적인 양방향 연계부터 제어망에서 업무 환경으로 데이터를 전송할 때 쓰는 ‘일방향’ 망 연계도 지원한다. 더불어 물리적 일방향이 반출, 반입 모두 필요할 때 쓰이는 ‘양일방향’, 등급이 다른 체계 간 쌍방향 데이터 공유를 위한 CDS까지 제공한다.

심 이사는 “N2SF의 핵심은 도메인 간 연계는 허용하되 정보 흐름은 통제하는 것”이라며 “휴네시온의 망 연계 솔루션은 기존 보안 인프라를 유지하면서도 데이터 유출 방지(DLP) 등 다양한 솔루션과의 연동을 통한 통합 보안 체계 구현에 최적화돼 있다”고 밝혔다.

“금융권 제로 트러스트 아키텍처 전환 사례 및 N2SF 연계 전략”

이번 행사에서는 제로 트러스트를 구현한 실사례도 공유됐다. KB국민은행 이형철 정보보호부 수석은 ‘금융권 제로 트러스트 아키텍처 전환 사례 및 N2SF 연계 전략’을 주제로 발표했다.

KB국민은행은 2021년 디지털 전환(Digital Transformation, DX) 가속화에 따른 차세대 보안 전략을 수립하며 제로 트러스트를 준비하기 시작했다. 2022년부터 2024년까지 제로 트러스트 기반 환경을 구축했으며, 비슷한 시기 과기정통부와 KISA가 추진하는 실증 사업에도 참여했다. 올해는 SK쉴더스 컨소시엄과 손잡고 SaaS 환경을 대상으로 제로 트러스트를 구현하고 있다.

이형철 수석은 “그동안 금융권은 여러 영역에 걸친 보안 체계를 갖추고 있었다. 하지만 이제 시대가 달라졌다. 망 분리라는 과거의 틀을 가지고는 클라우드, 오픈 API, 생성형 AI 등으로 넓어진 공격 표면을 보호하는 데 한계가 있다”며 “입체적으로 변한 사이버보안 현장에서 보다 나은 보안을 위해 제로 트러스트 도입을 결정했다”고 설명했다.

KB국민은행은 제로 트러스트를 구현하기 위해 시스템에 접근하는 주체와 매체, 그리고 중요 자원에 대한 신원을 통합하는 작업을 진행했다. 이상 징후 발견 시 해당 동적 정보를 바탕으로 차단하거나 인증을 지속적으로 요청하는 아키텍처도 구현했다.

이후 제로 트러스트의 3대 원칙인 강화된 인증, 소프트웨어 정의 경계(SDP), 마이크로 세그멘테이션(Micro-Segmentation)을 구현하는 데 집중했다. 다음으로는 안전한 SaaS 사용을 위한 제로 트러스트 체계를 만들었다. 앞으로는 N2SF를 반영한 보안 프레임워크로 발전시켜 나갈 계획이다.

이형철 수석은 4년여간 제로 트러스트 구현 과정에서 얻은 경험도 공유했다. 이 수석은 “제로 트러스트는 단기간에 성과를 낸다는 접근보다 장기 계획을 마련하고 단계적으로 추진해야 한다. 각 기업·기관에 맞는 독자적인 모델도 마련할 필요가 있다”고 조언했다.

이어 “KB국민은행은 제로 트러스트를 위해 솔루션 가짓수를 늘렸는데 정작 운영 인력이 부족해 어려움을 겪었다”며 “계획을 세우는 과정에서 운영 인력을 어떻게 확보할지에 대해서도 고심해야 한다”고 덧붙였다.