“제로트러스트 가이드라인 2.0, 보다 효과적으로 보안 전략 수립할 수 있도록 돕는 중요한 지침 될 것”
2월 11일, 삼성동 코엑스에서 열린 상반기 최대 보안컨퍼런스 제13회 정보보호&데이터보안 컨퍼런스(ISDP 2025)가 성황리에 개최됐다. 데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원(KISA), 한국정보보호산업협회(KISIA)가 후원한 이번 행사에는 공공, 금융, 기업 정보보호 담당자 1,700여 명이 참석해 최신 보안 트렌드와 정책을 공유했다.
이날 강남대학교 박정수 교수는 ‘제로트러스트 가이드라인 2.0 주요 내용 및 향후 방향’을 주제로 강연을 진행했다. 박 교수는 최신 보안 위협과 이에 대응하기 위한 제로트러스트(ZT) 모델의 발전 방향을 설명하며, 성숙도 모델 개선과 실무적 적용 방안을 제시했다. 박 교수는 가이드라인 2.0 개발시 주필진으로 참여한 바 있다.
■디지털 전환 시대, 제로트러스트의 중요성
박정수 교수는 강연에서 "디지털 전환이 가속화되면서 기존 경계 기반 보안 모델이 한계를 드러내고 있다"며 "제로트러스트는 신뢰할 수 없는 네트워크 환경에서도 보안을 유지할 수 있도록 설계된 필수적인 보안 패러다임"이라고 강조했다.
자료에 따르면 제로트러스트 보안 시장은 2023년 290억 1천만 달러에서 2032년 1,173억 달러로 성장할 전망이며, 연평균 성장률(CAGR) 16.8%를 기록할 것으로 예상된다. 기업의 72%가 향후 2년 내 제로트러스트 도입을 계획하고 있으며, 특히 원격 근무 확산과 개인정보보호 규제 강화가 ZT 도입을 가속화하는 주요 요인으로 작용하고 있다.
■제로트러스트 가이드라인 2.0의 주요 변화
제로트러스트 가이드라인 1.0이 2023년 7월 발표된 이후, 국내외 산업 전반에서 ZT 도입이 증가하면서 보다 구체적인 실행 지침이 필요해졌다. 이에 따라 가이드라인 2.0에서는 성숙도 모델을 기존 3단계에서 4단계로 세분화하고, 기업망 핵심 요소에 대한 27개 기능과 52개 보안 세부 역량을 추가했다. 또한, 도입 후 보안 수준을 평가할 수 있는 체크리스트도 포함됐다.
박 교수는 “가이드라인 2.0은 기존 모델의 한계를 보완하고, 실무적 적용성을 높이기 위해 최신 글로벌 보안 프레임워크(NIST SP 800-207A 등)를 반영했다”면서 “단순한 개념 정립을 넘어, 실제 도입 전략과 세부 실행 방안을 제공하는 것이 핵심”이라고 설명했다.
■제로트러스트 아키텍처의 구성 요소와 도입 전략
강연에 따르면, 제로트러스트 아키텍처를 성공적으로 도입하기 위해서는 먼저 보호 대상과 보안 아키텍처를 면밀히 분석하는 과정이 필수적이다. 조직 내 어떤 데이터와 시스템이 가장 중요한 보호 대상인지 명확히 정의해야 하며, 이를 기반으로 네트워크와 인프라의 현재 보안 상태를 평가해야 한다. 이 과정에서 보안 정책과 운영 절차를 분석해 조직의 보안 수준을 객관적으로 측정할 필요가 있다.
이후 성숙도 모델을 기반으로 단계별 구축 전략을 마련해야 한다. 제로트러스트 성숙도 모델 2.0은 기업의 보안 역량을 객관적으로 평가하고, 각 단계별 요구 사항을 세부적으로 제시함으로써 조직별 맞춤형 도입이 가능하도록 한다. 조직의 보안 목표와 현재 상태를 비교 분석하여, 도입 과정에서 발생할 수 있는 기술적, 조직적 문제를 사전에 파악하고 해결할 방안을 마련하는 것이 중요하다.
또 보안 역량 강화를 위한 구체적인 실행 방안도 필요하다. 제로트러스트 도입은 단순한 기술 솔루션 도입이 아니라 조직의 보안 체계를 근본적으로 변화시키는 과정이므로, 기존 보안 시스템과의 연계를 고려해야 한다. 기존의 방화벽, 접근 제어 시스템, 사용자 인증 체계를 폐기하는 것이 아니라 제로트러스트 원칙에 맞게 조정하고 최적화하는 것이 효과적이다. 또한 AI 기반 위협 탐지와 자동화된 보안 대응 체계를 구축하면 보안 수준을 한층 강화할 수 있다.
마지막으로 제로트러스트 도입이 성공적으로 이루어졌는지를 평가하는 과정이 필수적이다. 체크리스트 기반의 보안 수준 평가를 통해 조직의 보안 성숙도를 정량적으로 분석하고, 지속적인 개선을 위한 보안 전략을 수립해야 한다. 또한 침투 테스트와 실증 검증을 통해 보안 취약점을 지속적으로 식별하고 대응책을 마련해야 한다.
이러한 종합적인 접근을 통해 제로트러스트 아키텍처를 효과적으로 구축할 수 있으며, 변화하는 보안 위협에 능동적으로 대응할 수 있는 조직의 역량을 강화할 수 있다.
한편 박 교수는 제로트러스트에 대한 대표적인 오해로 ‘기존 보안 기술을 완전히 대체해야 한다’는 인식을 꼽았다. 그러나 현실적으로는 기존 보안 시스템과 연계해 점진적으로 적용하는 방식이 더욱 효과적이며, 기존 보안 솔루션을 최적화하는 과정에서 제로트러스트가 중요한 역할을 할 수 있다고 설명했다.
또한, 제로트러스트가 절대적인 보안 솔루션이 아니라는 점도 강조했다. 완벽한 보안은 존재하지 않으며, ZT의 핵심은 지속적인 보안 위협 완화와 대응 체계 강화에 있다. 조직 내에서 ZT 도입을 효과적으로 수행하려면 CEO, CISO, 보안 담당자 간 긴밀한 협력이 필수적이며, 도입 과정에서 업무 효율성과 보안 수준 간의 균형을 맞추는 것이 중요하다고 밝혔다.
■”제로트러스트 3.0, 지능형 위협 탐지와 AI 기반 의사결정 시스템이 핵심될 것”
박 교수는 가이드라인 2.0이 현재의 보안 환경에 맞춰진 모델이라면, 향후에는 보다 정교하고 확장된 ‘제로트러스트 3.0’으로 발전할 것이라고 전망했다. 그는 “ZT 3.0은 인공지능과 머신러닝을 활용해 보안 이벤트를 실시간으로 분석하고 대응하는 자동화된 보안 체계를 포함할 것”이라며 “지능형 위협 탐지와 AI 기반 의사결정 시스템이 ZT 3.0의 핵심이 될 것”이라고 설명했다.
또한, 박 교수는 미국 CISA(사이버보안 및 인프라 보안국)와 NSA(국가안보국)의 최신 연구를 반영하여 성숙도 평가 방법론을 지속적으로 개선해야 한다고 강조했다. 이를 위해 기업과 정부 기관의 협력이 더욱 중요해질 것이며, 제로트러스트 도입을 위한 정책과 규제가 보다 구체화될 것으로 전망했다.
ISDP 2025에서 발표된 제로트러스트 가이드라인 2.0은 국내 기업과 공공기관이 보다 효과적으로 보안 전략을 수립할 수 있도록 돕는 중요한 지침이 될 것으로 기대된다. 박 교수는 “디지털 전환이 가속화되는 상황에서 ZT는 선택이 아니라 필수”라며 “ZT 가이드라인 2.0을 기반으로 각 조직이 보안 성숙도를 높이고 지속적인 개선을 이어나가야 한다”고 강조했다.
ISDP 2025 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
