데일리시큐가 주최하고 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 하반기 최대 사이버보안 컨퍼런스 및 전시회인 PASCON 2024가 9월 10일 1,200여 명의 공공, 금융, 기업 정보보호 실무자들이 참석한 가운데 성황리 개최됐다.
이 자리에서 최영준 한국인터넷진흥원 팀장은 ‘제로트러스트 가이드라인으로 바라본 제로트러스트 구현 전략’을 주제로 강연을 진행했다.
최영준 팀장은 먼저 제로트러스트 개념의 진화 과정을 설명했다. 2010년 포레스터(Forrester)가 처음으로 제로트러스트 용어를 제시한 후, 2014년 구글의 ‘비욘드코프(BeyondCorp)’가 이를 발전시켰으며, 2020년부터 제로트러스트는 미국의 행정명령 및 NIST 가이드라인을 통해 공공 부문에 널리 도입되기 시작했다. 특히, NIST의 SP 800-207 가이드라인은 제로트러스트 아키텍처 구현에 대한 표준을 제시했으며, 이를 통해 정부 기관들은 제로트러스트를 공식적으로 채택하게 되었다.
강연에서 강조된 제로트러스트의 핵심 개념은 "신뢰하지 말고, 검증하자"라는 원칙이다. 기존의 보안 모델이 내부 사용자를 신뢰하는 방식에서 벗어나, 모든 네트워크 트래픽과 사용자 활동을 지속적으로 모니터링하고 검증해야 한다는 점을 설명했다. 최 팀장은 이를 비유적으로 설명하며, "회사 출입문에서 신원 인증을 받은 후에도 내부 자산에 접근할 때는 계속해서 모니터링하고, 세분화된 보안 정책을 적용해야 한다"고 말했다.
최 팀장은 제로트러스트 도입 과정에서 국내 정보보안 환경의 도전 과제도 언급했다. 국내 기업의 93.5%가 제로트러스트 개념에 대한 인식이 낮다는 점이 가장 큰 문제로 지적됐으며, 기존 보안 제품과의 호환성 문제(75.6%) 또한 도입을 주저하게 만드는 주요 요인 중 하나로 꼽혔다. 이에 따라 최 팀장은 제로트러스트 도입 시 기존 보안 시스템과의 연동 및 표준화 이슈를 해결하는 것이 필수적이라고 강조했다.
최 팀장은 강연 마지막 부분에서 한국인터넷진흥원이 조만간 제공할 제로트러스트 가이드라인 2.0의 주요 내용을 소개했다. 이 가이드라인은 제로트러스트 아키텍처의 도입 절차와 성숙도 모델을 제시하며, 국내 기관들이 정보통신 환경에 적합한 제로트러스트 보안 체계를 도입할 수 있도록 지원하는 것을 목표로 한다. 특히, 도입 준비 방안, 보안 수준 분석, 효과성 분석 등의 내용을 포함해 제로트러스트의 효과적인 운영을 위한 구체적인 방법을 2.0에서 제시할 계획이라고 전했다.
최영준 팀장은 제로트러스트는 선택이 아닌 필수적인 보안 전략이라고 강조했다. 점진적인 개선만으로는 복잡해지는 사이버 보안 위협에 대응할 수 없으며, 제로트러스트는 근본적인 변화를 요구하는 전략이라는 것이다. 이를 위해서는 강력한 정책적 지원과 함께 국내 정보보안 업계가 글로벌 표준을 준수하며 보안 기술을 도입해야 한다고 주장했다.
보다 상세한 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[PASCON 2024-영상] 나정주 디지서트 지사장, 양자컴퓨팅과 AI가 디지털 신뢰에 미칠 위험성 경고…해결 방안은?](https://www.dailysecu.com/news/photo/202409/159497_186931_222.jpg)
![[PASCON 2024-영상] 김직동 개인정보위 과장 “개정안, 신산업 혁신 지원과 개인정보의 안전한 처리 보장에 중점”](https://www.dailysecu.com/news/photo/202409/159499_186937_237.jpg)
![[인터뷰] “ICTK, VIA PUF와 PQC 기술 바탕으로 글로벌 보안 시장 진출 본격화”](https://www.dailysecu.com/news/photo/202409/159496_186928_2127.jpg)
