통신사 등 잇단 해킹 공격…'제로 트러스트' 의무화 도마에

접근 권한 최소화 보안 강화 정책
미국은 공공기관 대상으로 의무화
구글·MS 등 세계 기업 63% 도입
국내선 4% 그쳐 글로벌 표준 역행
"단계적 도입 서둘러야" 한목소리

뉴시스

최근 통신사와 쿠팡 등에서 일어난 개인정보 유출 사태를 계기로 기업들이 '제로 트러스트(zero trust)' 보안 정책 적용을 앞당겨야 한다는 지적이 나오고 있다. 제로 트러스트는 모두에게 최소한의 보안 접근 권만을 주고, 정보 접근시 신원 증명이나 보안권한 등을 상시 확인토록 하는 보안 정책을 의미한다. 미국은 조 바이든 전 미국 대통령이 강조해 공공기관은 의무화 됐으며, 기업들도 정책 도입률이 늘고 있다. 우리 정부는 지난해 '제로 트러스트 가이드라인 2.0'을 공개했으나 국내에서 제로 트러스트 정책을 운영하는 기업들은 여전히 10%도 되지 않는 것으로 전해졌다.

21일 정보기술(IT) 업계에 따르면 쿠팡은 미국 증권거래위원회(SEC) 공시를 통해 '내부자'인 전직 직원 1명이 약 3300만개의 고객 정보를 취득했을 가능성이 있다고 밝혔다.

지난 2일 국회 과학기술정보방송통신위원회가 개최한 쿠팡 현안 질의에선 이정헌 더불어민주당 의원은 "모든 접근 시도나, 모든 접근 요청에 대해 의심하고 모든 상황에서 인증이 이루어져야 한다"면서 제로 트러스트의 중요성을 강조했다.

국내 기업들의 제로 트러스트 도입 수준은 현저히 낮다. 지난 2021년 글로벌 보안 기업 옥타의 아시아·태평양(APAC) 보고서에 따르면, 한국에서 제로 트러스트를 도입한 기업 비중은 4%에 불과했다. 지난해 시장조사업체 가트너에 따르면 구글과 마이크로소프트 등 세계 기업 63%가 제로 트러스트를 도입한 상태다.

정부 정책은 걸음마 단계다. 과학기술정보통신부는 지난해 12월 △기존 단계 △초기 단계 △향상 단계 △최적화 단계 등 4단계로 성숙도를 구분한 '제로 트러스트 가이드라인 2.0'을 마련한 상태다.

전문가들은 국내 공공기관이나 기업들도 단계적으로 제로 트러스트 도입 의무화가 필요하다고 제언한다. 서광현 한국제로트러스트보안협회 상근부회장은 "제로 트러스트를 기업들이 지금 도입해도 평균적으로 초기 단계까지 1년, 향상 단계 3년, 최적화 단계까지 5년이 걸린다"며 "하루빨리 초기 단계 성숙이라도 시작해야 한다"고 말했다. 서 부회장은 쿠팡의 경우 가이드라인에 나온 4단계 중 '향상 단계' 수준의 보안 정책을 적용했어야 정보 유출을 막을 수 있을 것으로 봤다.

박춘식 서울여대 정보보호학과 교수는 "현재 가이드라인은 권고일 뿐 구속력이 매우 약하다. 미국 연방 정부는 이미 공공기관을 대상으로 의무화했다"고 말했다.

그는 "일본과 영국 등 글로벌 국가도 제로 트러스트 도입을 강조하는 흐름"이라고 덧붙였다.

kaya@fnnews.com 최혜림 기자