제로트러스트 보안체계 도입, 하지만 업계의 우려 여전
윤석열 정부는 출범 이후 새로운 보안체계 수립에 본격적으로 나섰다. 특히 제로트러스트 보안 모델에 대한 정의가 확립되었고, 소프트웨어 공급망 보안 가이드라인도 발표됐다. 하지만 보안업계에서는 여전히 새로운 보안체계에 대한 인식이 부족하다는 우려의 목소리가 나오고 있다. 또한 정부의 인재 양성이 특정 분야에만 집중되어 있어, 지속 가능한 업계 성장이 가능할지 미지수라는 평가도 있다.
과학기술정보통신부는 윤석열 정부 출범 이후 2년 6개월간의 과학기술 및 디지털 분야 성과를 발표하며 '신뢰할 수 있는 디지털 안전 확보'를 주요 성과로 언급했다. 디지털 안전 확보 중 하나로 신 보안체계 도입과 확산의 노력도 포함됐다. 정부는 사이버 보안 기업을 육성하기 위해 전용 펀드를 조성하고, 패러다임 변화에 대응하기 위한 신 보안체계의 도입을 지원하고 있다.
국내에서 주목받고 있는 제로트러스트 보안 모델은 '누구도 믿지 말고 경계하라'는 원칙 위에 구축되었으며, 내부 및 외부에서의 위협을 모두 고려하는 접근 방식이다. 정부는 올해 7월 제로트러스트 가이드라인을 발표하여 개념 정의와 보안 정책 수립을 위한 지침을 제공했다. 이 가이드라인은 주요국의 전략과 유사하게 인증체계 강화, 초세분화, 소프트웨어 정의 경계 등의 필수 요소를 포함하고 있다.
4월에는 소프트웨어 공급망 보안 가이드라인이 공개되어 SW 공격의 증가에 대응하며 방어 체계를 강화하려는 노력을 강조했다. 이 가이드라인은 SW 구성요소의 투명한 공개를 통해 위협 가능성을 감소시키는 소프트웨어 자재 명세서(SBOM) 관련 안내도 포함하고 있다.
그러나 업계에서는 가이드라인이 적용 방법에 대한 구체성이 부족하다는 비판이 제기되고 있다. 제로트러스트 가이드라인 발표 이후에도 많은 기업들이 이 개념을 이해하지 못하고 있으며, 일부는 단순히 솔루션으로 구현할 수 있다고 오해하는 경우도 많다.
앞으로 정부는 제로트러스트 2.0 가이드라인을 연내 발표하고, 도입 방법론을 제시할 예정이다. 대규모 정보보호 콘퍼런스에서 예상 목차가 공개될 예정이며, 이에는 산업 실태조사 결과와 도입 참고 모델, 검증 방안 등이 포함될 것이라고 전해졌다.
과기정통부는 지난해 사이버보안 인재 양성 정책을 통해 글로벌 사이버보안 지수에서 최상위 등급을 달성했다고 밝혔다. 또한 국제 해킹 방어 대회에서 연속 우승하며 사이버보안 강국으로의 입지를 강화하고 있다. 하지만 현재의 인재 양성 지원이 화이트해커에 집중되어 있어 다양한 분야의 전문 인력이 부족하다는 지적이 있다.
업계 관계자는 가이드라인과 인재 양성 정책이 올바른 방향이지만, 이들 정책이 지속가능한지를 의문시하며, 정부의 노력과 정책이 실제로 보안업계의 성장으로 이어질지에 대한 우려를 표명했다.
│
이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임메이커.KR 게임 개발 뉴스 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임메이커.KR, 게임투비즈(GameToBiz), 게임S/W에이전시, 저널CTL코리아