[웨비나 영상] 제로트러스트 확산을 위한 정책 추진 방향과 적용 솔루션 소개...성황리 개최

KISA 하병욱 팀장 “성숙도 기반 제로트러스트 도입, 이제 민간 확산 시점”

아카마이 신기욱 상무 “아카마이 제로트러스트 플랫폼, 정부 가이드라인 2.0을 기술적으로 충실히 반영”

데일리시큐와 아카마이(Akamai)코리아가 3월 27일 공동 개최한 웨비나에서 정보보호 담당자 250여 명이 참석한 가운데 '제로트러스트 2.0'의 핵심 내용과 민간 확산 전략이 제시됐다. 이번 웨비나는 제로트러스트 보안 모델의 국내 도입을 위한 제도적 방향성과 기술적 구현 전략을 구체적으로 다뤄 보안담당자들의 큰 관심을 모았고 웨비나 내내 많은 질문들이 올라왔다.

제로트러스트 사업총괄을 담당하고 있는 KISA 보안산업진흥팀 하병욱 팀장은 정부 차원의 제로트러스트 정책 추진 방향과 가이드라인 2.0의 주요 내용을 소개했고, 아카마이코리아 신기욱 상무는 가디코어 플랫폼을 통한 소프트웨어 정의 경계 기반 보안 전략을 중심으로 현실적인 제로트러스트 도입 방안을 설명했다.

◆하병욱 팀장 “성숙도 기반 제로트러스트 도입, 이제 민간 확산 시점”

하병욱 팀장은 제로트러스트 보안 개념의 정의부터 시작해, 기존 경계 기반 보안모델의 한계를 지적하며 “모든 접근을 기본적으로 신뢰하지 않고 지속적으로 검증하는 것이 핵심”이라고 강조했다. 특히 네트워크 위치와 상관없이 사용자와 디바이스의 상태를 기반으로 접근을 제어하는 것이 제로트러스트의 철학이라고 설명했다.

이어 그는 미국 연방정부, 국방부, 국가안보국(NSA) 등에서 제로트러스트 아키텍처(NIST SP 800-207)와 성숙도 모델을 기반으로 빠르게 적용을 확산하고 있으며, CISA와 NSA의 4단계 성숙도 모델 및 실행 전략을 상세히 소개했다. 이를 통해 제로트러스트는 더 이상 이론이 아닌 필수 보안 모델로 자리 잡고 있다고 강조했다.

국내 상황에 대해서는 KISA가 지난해부터 가이드라인 1.0을 발표하고, 지난해 말 이를 보완한 '제로트러스트 가이드라인 2.0'을 발간했다고 설명했다. 이 가이드라인은 4단계 성숙도 수준, 6대 핵심 요소(식별자·신원, 기기, 네트워크, 시스템, 애플리케이션, 데이터)와 2대 공통 기능을 중심으로 구체적인 52개 세부 역량을 제시한다.

또한 가이드라인 2.0은 준비-계획-구현-운영-개선의 5단계 도입 절차와 함께 보안 수준 평가를 위한 체크리스트와 효과성 분석 방안도 포함하고 있다. 하 팀장은 “25년부터 민간 부문의 본격 확산을 위해 시범사업과 해설서, 컨설팅 지원이 추진된다”고 밝혔다.

마지막으로 그는 “제로트러스트는 단기 프로젝트가 아니라 장기적인 보안 체계의 전환”이라며, “성숙도 기반 접근으로 체계적이고 단계적인 도입이 필수”라고 조언했다. 더불어 “ISMS-P나 개인정보보호법 등에 제로트러스트 가이드라인 규정을 포함시켜 또 하나의 규제를 만드는 것이 목적이 아니라 보안강화를 위해 자율적으로 제로트러스트 도입이 국내에 확산될 수 있도록 지속적인 노력을 기울여 나가겠다”고 강조했다.

◆신기욱 상무 “가디코어 플랫폼, 동적 정책 기반으로 공격 표면 99.93% 감소”

이어 발표에 나선 아카마이 코리아 신기욱 상무는 ‘소프트웨어 정의 경계 기반의 논리적 망 분리’ 전략을 중심으로 아카마이 가디코어 플랫폼의 제로트러스트 구현 사례를 소개했다.

신 상무는 “기존 방화벽 기반 보안은 네트워크 변화와 디바이스 이동성에 대응이 어렵다”며 “가디코어는 IP가 아닌 라벨(Label)을 기반으로 동적인 보안 정책을 제공함으로써 이 문제를 해결한다”고 설명했다.

특히 마이크로 세그멘테이션 기술을 통해 불필요한 내외부 연결을 차단하고, 필수 연결만 허용함으로써 공격 표면을 99.93% 줄일 수 있다고 강조했다. 기존 350만 개 연결에서 120개 필수 연결로 줄이는 데 성공한 사례를 소개하며, 이는 침해사고 예방에 큰 효과를 보인다고 말했다.

가디코어 플랫폼은 VDI 보안, 쿠버네티스(K8s) 환경 보안, 알려지지 않은 자산의 자동 식별 및 격리, 트래픽 플로우 가시성 확보 등 다양한 제로트러스트 유스케이스를 통합적으로 지원한다. 신 상무는 “단일 콘솔에서 정책 수립, 적용, 모니터링까지 가능한 통합 플랫폼으로 보안성과 관리 편의성을 동시에 확보할 수 있다”고 강조했다.

또한 그는 “AI 기반 위협 탐지와 자동화된 정책 적용이 결합돼 TCO(총소유비용)는 낮추고 보안 수준은 높이는 구조”라며, “실제 적용 시에도 네트워크 변경 없이 무중단 도입이 가능하다”고 말했다.

마지막으로 그는 “아카마이의 제로트러스트 플랫폼은 정부 가이드라인 2.0을 기술적으로 충실히 반영하고 있으며, 국내 환경에서도 신속하게 도입 가능하다”며 민간 기업들의 관심과 적용을 권장했다.

◆제로트러스트, 디지털 전환 시대의 핵심 보안 패러다임

이번 웨비나는 제로트러스트 보안모델이 이제는 선택이 아닌 필수 전략이라는 점을 다시금 확인하는 자리였다. 신기욱 상무는 “제로트러스트는 초기 투자와 설계가 복잡하다고 생각할 수 있지만 실제로는 많은 공수가 들어가지 않고도 적용이 가능하며 국내 제조업과 금융기관에서는 이미 도입이 적극적으로 이루어지고 있다. 제로트러스트는 궁극적으로 보안 리스크를 줄이고 장기적으로 운영 효율성을 높이는 가장 현실적인 접근법”이라고 강조했다.

보다 상세한 웨비나 강연 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)

-주최: 데일리시큐

-일시 2025년 4월 15일(화) / 오전 9시~오후 5시

-장소: 한국과학기술회관 국제회의실 및 로비

-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)

-참가비: 현업 보안실무자는 무료

-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정

-등록마감: 2025년 4월 13일 오후 5시까지

-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가

-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록 필수: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

저작권자 © 데일리시큐 무단전재 및 재배포 금지