[디지털투데이 박건도 기자] 지방자치단체를 포함해 공공 기관들이 제로 트러스트 보안 솔루션을 실증 사업 수준을 넘어 실제 업무에 적용하는 사례가 늘어날 것으로 보인다.

7일 업계에 따르면 최근 지자체 및 공공분야에서 제로트러스트 도입과 관련된 문의가 이어지고 있다. 제로트러스트는 '아무도 믿지말라'는 보안철학에 따라 사용자, 기기, 네트워크, 애플리케이션, 데이터 등을 각각 논리적으로 분리해 보호해야 한다. 국내 제로트러스트 가이드라인에는 여기에 시스템을 더해 총 6개 개념을 보호하도록 권장한다. 

제로트러스트 실증사업에 참여했던 보안기업 한 관계자는 "올해 들어 관련 문의가 수십차례 들어왔다"며 "공공영역 뿐만 아니라 최근에는 금융권 등 민간영역에서도 관심을 갖고 있다"고 전했다.

주택금융공사, 한국지능정보사회진흥원(NIA) 등 공공기관들은 올해 실제 업무환경에서 제로트러스트 기술이 적용된 원격근무 서비스를 이용하고 있다. 이들 원격근무 서비스에는 네트워크 영역에서 제로트러스트를 구현한 제로트러스트네트워크(ZTNA)가 적용됐다.  

서울시도 원격근무 서비스에 제로트러스트를 적용한다. 그동안 보안소켓계층(SSL) 가상사설망(VPN) 기반 서비스를 사용해온 서울시는 최근 공공기관을 타깃으로 한 보안 위협에 대응하기 위해 제로트러스트 모델인 소프트웨어정의경계(SDP)를 적용할 계획이다.

SSL VPN은 네트워크 액세스 유형에 관계 없이 암호화된 연결을 지원하긴 하지만 링크 주소(URL)를 외부로 노출시키면서 분산서비스공격(DDoS, 디도스)에 취약하다는 단점이 있다. 이와 달리 SDP를 원격근무 서비스에 적용하면 URL이 노출되지 않아 디도스 등 사이버 공격을 예방할 수 있다고 서울시는 설명했다. ZTNA와 함께 SDP도 네트워크 영역에서 제로트러스트를 구현하는 기술이다.

서울시 제로트러스트 적용 사업은 온프레미스 환경 기반이다. 서울시는 올해 하반기 전직원이 새로운 원격근무 서비스를 이용할 수 있을 것으로 보고 있다. 서울시는 이번 사업 경험을 바탕으로 향후 본청, 구청, 관련 기관 등으로 제로트러스트 적용을 확산시킬 방침이다.

서울시 관계자는 "공공기관을 대상으로 한 보안 위협이 다양해지면서 서울시는 지방자치단체 최초로 제로트러스트를 도입한다"며 "새로운 원격근무 서비스는 사전에 등록된 이용자만 접속할 수 있게 된다"고 말했다. 

업계 관계자는 "지난해 실증을 거친 제로트러스트가 본격적으로 적용되는 양상을 보이고 있다"며 "서울시를 시작으로 지자체 등 공공영역 중심으로 도입이 확산될 것으로 예상된다"고 말했다.