[디지털투데이 황치규 기자] 글로벌 보안 업계가 명백한 검증, 최소 권한 원칙, 침해를 당했다는 가정에 기반해 보안 정책을 운영하는 '제로 트러스트' 중심으로 재편 중인 가운데, 제로 트러스트를 향한 국내 기업들의 움직임도 점점 빨라지고 있다.

네트워크 보안을 넘어 애플리케이션, 콘텐츠, 데이터 보안 업체들 사이에서 제로 트러스트를 향한 행보가 구체화되는 양상이다.

콘텐츠 및 데이터 보안 업체인 파수가 제로 트러스트를 제품 전략에 간판으로 투입하고 나섰다.

파수는 21일 개최한 ‘파수 디지털 인텔리전스 2022(Fasoo Digital Intelligence 2022, 이하 FDI 2022)’에서 차세대 보안 전략의 핵심 키워드로 제로 트러스트와 보안 플랫폼을 제시했다.

조규곤 파수 대표는 “하이브리드 워크플레이스로의 업무 환경 변화와 사이버 전쟁 심화에 대응하기 위해서는 사이버 보안을 새롭게 재창조해야 한다"면서 제로 트러스트와 보안 플랫폼을 주목해야 한다고 목소리를 높였다.

파수에 따르면 제로 트러스트와 보안 플랫폼은 별개가 아니라 긴밀하게 맞물려 있다.

조 대표는 "제로 트러스트 보안을 추진하는 과정에서 여러 제품들이 도입할 경우 복잡성이 커질 수 있다. 복잡성이 줄이기 위해서는 여러 제품을 일관된 정책으로 관리할 수 있는 플랫폼이 중요하다"면서 "제로 스트러스 관점에서 제품을 다시 바라보고 재설계하고 개선해 나가고 있다"고 강조했다.

제로 트러스트는 기업 네트워크가 이미 공격자들로부터 침해를 받았다는 가정하고 보안에 대응하는 것이 골자다. 

공격을 받지 않도록 하는데 무게를 두고, 일단 안전하다고 판단된 트래픽에 대해서는 통제를 많이 하지 앟는 그동안의 패러다임과는 차이가 있다. 코로나 19 상황 속에 회사와 집을 왔다 갔다하며 근무하는 하이브리드 워크 환경에 적합한 보안 모델로 주목받고 있다. 미국 연방 정부 차원에서도 제로 트러스트를 차세대 보안 전략으로 투입하는 모습이다.

파수는 제로 트러스트 보안 분야 중에서도 데이터 및 애플리케이션 보안에 집중한다는 전략이다.

회사측에 따르면 제로 트러스트 기반 데이터 보안 솔루션인 '파수 데이터 시큐리티 플랫폼'은 ▲콘텐츠ID ▲로그 ▲정책을 핵심 기능으로 하고 있다. 콘텐츠ID는 파일 하나 하나에 부여되는 고유 식별정보로  데이터 라이프 사이클에 걸쳐 데이터가 사용될 때 마다 검증이 가능하도록 하는데 초점이 맞춰져 있다.

조 대표는 "데이터가 저장돼 있을 때나 네트워크를 통해 트랜잭션이 일어날 때, 열람이 됐을 때도 검증이 필요하다. 이런 데이터 라이프 사이클 상에서 데이터를 통합 관리할 수 있다"고 말했다.

애플리케이션 보안은 기업들이 애플리케이션을 안전하게 배치할 수 있또록 지원하는 것이 핵심이다. 외부 기업들로부터 구입한 애플리케이션, 자체 개발한 애플리케이션, 외주로 제작한 애플리케이션을 배치할 때 보안 리스크를 줄일 수 있도록 한다는 설명이다.

네트워크 보안 업체들의 움직임도 빨라지는 분위기다. 모니터랩은 몇년 전부터 제로 트러스트 보안 포트폴리오를 강화해왔고, 대형 네트워크 보안 업체인 안랩과 지니언스 등도 제로 트러스트 관련 제품을 개발에 속도를 내고 있다. [관련기사]"한국도 제로 트러스트는 거부할 수 없는 흐름...과감하게 투자할 것"

제로 트러스트 보안 사업을 위해 모니터랩과 자본 제휴을 맺은 안랩의 경우 클라우드 시대, 가상사설망(VPN)의 후계자로 평가되는 제로 트러스트 네트워크 액세스(Zero Trust Network Access, ZTNA), 등의 사업을 준비 중이다.

안랩 관계자는 "ZTNA 영역에 대해 클라우드 보안 전문기업과 MOU 및 내부 연구 개발 등을 진행하며 준비 중"이라며 "준비상황이 가변적이라 구체적인 일정은 현재로선 말하기 어렵다"고 말했다. [관련기사]한국도 제로 트러스트 보안 열기 고조...안랩-모니터랩 자본 동맹

네트워크 및 엔드포인트 보안을 주력하는 하는 지니언스의 경우 이미 제로 트러스트 보안 솔루션 ‘지니안 제로 트러스트 네트워크 액세스(ZTNA)’를 출시했다. [관련기사]지니언스, '지니안 ZTNA' 출시...제로트러스트로 확장 가속

스팸메일 차단 및 메일 보안 소프트웨어 기업 지란지교시큐리티도 제로 트러스트와 관련한 다양한 접근을 모색하고 있다. 회사 관계자는 "공식적으로 밝힐 단계는 아니지만 제로 트러스트 관련 사업을 준비하고 있다"고 말했다.

앞서 지란지교시큐리티는 지난 1월 클라우드 가상화 플랫폼 솔루션 전문기업 에어코드와 웹격리(RBI) 기술과 콘텐츠 악성코드 무해화(CDR) 기술을 결합한 제로 트러스트 보안 구현을 위한 협력을 맺었다. 에어코드 RBI 솔루션은 웹 콘텐츠를 가상 컨테이너에 격리 후 사용자에게 안전한 콘텐츠만을 전달, 사용자 기기에서 악의적인 웹 트래픽이 실행되지 않도록 사전에 차단하는 웹격리 솔루션이다. 

현재 국내외 기업들이 내놓은 제로 트러스트 보안 솔루션을 보면 기업들이 내부에 구축해서 쓰는 것이 아니라 클라우드 기반 플랫폼을 구독 형태로 이용할 수 있도록 하는 방식에 초점이 맞춰져 있다.

설치형 제품이 여전히 대세인 한국에선 클라우드 기반 제로 트러스트 보안 서비스 플랫폼은 아직 주류라고 보기는 어렵다. 일각에선 제로 트러스트를 둘러싸고 이미 10년 전에 제시된 모델이라며 거품을 지적하는 목소리도 들린다. 

그럼에도 빅테크 기업들과 글로벌 유력 보안 업체들이 제로 트러스트를 차세대 보안 키워드로 띄우고 나서면서 제로 트러스트는 보안 시장에서 점점 중량급 키워드로 부상하고 있다. 이 과정에서 보안 시장도 구축형에서 구독 기반 서비스 모델로의 전환이 급물살을 타고 있다.

국내 보안 업체 한 관계자는 "분명한 것은 IT 환경과 업무형태는 바뀌었고, 과거로 돌아가기는 쉽지 않아 보인다. 그리고 예전 방식으로는 새로운 문제를 해결할 수 없다. 변화를 수용할 수 있는 새로운 보안모델이 필요하다. 그것이 바로 제로 트러스트 네트워크"라고 말했다.