제로트러스트 도입에도 보안업계의 불만 계속, 실효성 의문 제기

윤석열 정부 출범 이후, 새로운 보안체계의 수립을 위한 움직임이 활발히 진행되고 있다. 특히 '제로트러스트' 보안 모델을 국내에 정의하고, 소프트웨어 공급망 보안 관련 정책을 도입하는 성과를 보고하고 있다. 그러나 이러한 움직임에도 불구하고 보안업계에서는 체감할 만한 변화가 이루어지지 않고 있다는 평가가 지배적이다. 업계 전문가들은 신 보안체계에 대한 인식이 아직 부족하고, 인재 양성 정책이 특정 영역에만 편향되어 있는 점을 우려하고 있다.

과학기술정보통신부는 최근 발표한 자료에서 윤 정부가 지난 2년 6개월 동안 과학기술 및 디지털 분야에서 거둔 성과를 언급하며 '신뢰할 수 있는 디지털 안전 확보'를 중요한 목표로 설정했다고 밝혔다. 이는 디지털 인프라 혁신과 민생 안정의 일환으로 신 보안체계를 포함하고 있다. 정부는 사이버보안 기업을 육성하기 위한 펀드 조성과 함께, 패러다임 전환에 대응해 새로운 보안체계의 도입과 확산을 지원하고 있다.

제로트러스트는 '누구도 믿지 말고 경계하라'는 철학에 근거한 보안 접근 방식으로, 외부와 내부 모두에서 발생할 수 있는 위협을 인식한다. 이 모델은 사이버 공격 대응 및 데이터 중심 보안 전략 수립에 중요한 역할을 하며, 정부는 2023년 7월에 제로트러스트 가이드라인을 발표하였다. 이 가이드라인에는 인증체계 강화, 초세분화(마이크로세그멘테이션), 소프트웨어 정의 경계 등의 실행 요소가 포함되어 있다.

그러나 보안업계에서는 이러한 가이드라인이 개념 정의에 그치고 있어 실제 적용과 변화를 지원하는 세부 내용이 부족하다는 지적이 나오고 있다. 일부 기업들은 제로트러스트를 자사 제품 만으로 구현할 수 있다고 주장하기도 하며, 이는 새로운 보안체계에 대한 잘못된 이해를 반영하고 있다. 정부는 올해 안에 제로트러스트 2.0 가이드라인을 발표할 예정이며, 이는 산업 실태조사 결과, 도입 참조모델, 검증 방안 등이 포함될 것으로 예상된다.

과기정통부는 '사이버보안 10만 인재 양성 방안'을 통해 집중 투자하여 올해 글로벌 사이버보안 지수에서 최상위 등급을 달성했다고 밝혔다. 또한, 데프콘 해킹 방어 대회에서 3년 연속 우승을 거두어 사이버 보안 분야에서의 위상을 높이고 있다. 하지만 여전히 지원 프로그램이 화이트해커 양성에 치우쳐 있다는 점이 지적되고 있으며, 사이버 보안 인력의 다양성이 부족하다는 우려도 제기되고 있다.

업계 관계자들은 새로운 보안체계의 도입과 인재 양성에 대한 정책이 긍정적이라고 평가하면서도, 이러한 정책이 지속 가능한 성장 동력을 제공할 수 있을지에 대한 의문을 표명하고 있다. 이들은 또한 현재의 정책이 실질적인 효과를 내기 위해서는 보다 구체적인 실행 전략과 지원이 필요하다고 강조하고 있다.

│

이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임투비즈(GameToBiz) R&D 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임투비즈(GameToBiz), 게임메이커.KR, 게임S/W에이전시, 저널CTL코리아